Comment mettre en place une défense contre les attaques DDoS sur Linux
Avec le développement rapide d'Internet, les menaces à la sécurité des réseaux augmentent également de jour en jour. L'une des méthodes d'attaque courantes est l'attaque par déni de service distribué (DDoS). Les attaques DDoS sont conçues pour surcharger un réseau ou un serveur cible afin qu'il ne puisse pas fonctionner correctement. Sous Linux, nous pouvons prendre certaines mesures pour nous défendre contre cette attaque. Cet article présentera quelques stratégies de défense courantes et fournira des exemples de code correspondants.
- Limiter la vitesse de connexion
Les attaques DDoS ont généralement tendance à épuiser les ressources du système en raison d'un grand nombre de demandes de connexion. Nous pouvons utiliser l'outil iptables pour limiter la vitesse de connexion d'une seule adresse IP. L'exemple de code ci-dessous autorisera jusqu'à 10 nouvelles connexions par seconde, les connexions supérieures à cette vitesse seront abandonnées.
iptables -A INPUT -p tcp --syn -m limit --limit 10/s --limit-burst 20 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
Copier après la connexion
- Utilisation des cookies SYN
Les attaques par inondation SYN dans les attaques DDoS sont un moyen courant de consommer les ressources système en exploitant les vulnérabilités du protocole de prise de contact à trois voies TCP. Le noyau Linux fournit un mécanisme de cookies SYN pour se défendre contre cette attaque. Avec les cookies SYN activés, le serveur ne consommera pas trop de ressources lors du traitement des demandes de connexion. L'exemple de code suivant montre comment activer les cookies SYN.
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
Copier après la connexion
- Système d'exploitation durci
Afin de nous défendre contre les attaques DDoS, nous devons assurer la sécurité du système d'exploitation. Cela inclut la mise à jour du système d'exploitation et l'installation des derniers correctifs de sécurité, la désactivation des services et des ports inutiles, la configuration de la protection du système de fichiers, etc. L'exemple de code suivant montre comment désactiver les services inutiles.
# 停止服务
service <service_name> stop
# 禁止服务开机自启
chkconfig <service_name> off
Copier après la connexion
- Utilisez un pare-feu
Les pare-feu sont la première ligne de défense de nos systèmes, limitant les accès externes et filtrant le trafic malveillant. Sous Linux, iptables est un puissant outil de pare-feu. L'exemple de code suivant montre comment configurer iptables pour bloquer l'accès à partir d'adresses IP spécifiques.
iptables -A INPUT -s <IP_address> -j DROP
Copier après la connexion
- Utiliser un proxy inverse
Un serveur proxy inverse peut nous aider à répartir le trafic et à le diriger vers plusieurs serveurs, réduisant ainsi la charge sur un seul serveur. Les serveurs proxy inverses courants incluent Nginx et HAProxy. L'exemple de code ci-dessous montre comment utiliser Nginx pour la configuration du proxy inverse.
http {
...
upstream backend {
server backend1.example.com;
server backend2.example.com;
server backend3.example.com;
}
server {
listen 80;
location / {
proxy_pass http://backend;
}
}
}Copier après la connexion
Résumé
En limitant la vitesse de connexion, en utilisant des cookies SYN, en renforçant le système d'exploitation, en utilisant des pare-feu et en utilisant des proxys inverses, nous pouvons nous défendre efficacement contre les attaques DDoS sur les systèmes Linux. Cependant, une seule mesure de défense ne peut pas résoudre complètement de telles attaques. Il est donc recommandé d’adopter une combinaison de plusieurs stratégies pour améliorer la sécurité du système.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
