Linux で DDoS 攻撃に対する防御を設定する方法

Linux で DDoS 攻撃に対する防御を設定する方法

インターネットの急速な発展に伴い、ネットワーク セキュリティの脅威も増加しています。一般的な攻撃方法の 1 つは、分散型サービス拒否 (DDoS) 攻撃です。 DDoS 攻撃は、ターゲットのネットワークまたはサーバーに過負荷がかかり、正常に機能できなくなるように設計されています。 Linux では、この攻撃を防御するために講じられる対策がいくつかあります。この記事では、いくつかの一般的な防御戦略を紹介し、対応するコード例を示します。

1. 接続速度を制限する
   DDoS 攻撃は通常、多数の接続要求によってシステム リソースを使い果たす傾向があります。 iptables ツールを使用すると、単一の IP アドレスの接続速度を制限できます。以下のコード例では、1 秒あたり最大 10 の新しい接続が許可されますが、この速度を超える接続はドロップされます。

iptables -A INPUT -p tcp --syn -m limit --limit 10/s --limit-burst 20 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

2. SYN Cookie の使用
   DDoS 攻撃における SYN フラッド攻撃は、TCP スリーウェイ ハンドシェイク プロトコルの脆弱性を悪用してシステム リソースを消費する一般的な方法です。 Linux カーネルは、この攻撃を防御するための SYN Cookie メカニズムを提供します。 SYN Cookie を有効にすると、サーバーは接続リクエストを処理するときに大量のリソースを消費しません。次のコード例は、SYN Cookie を有効にする方法を示しています。

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

3. オペレーティング システムを強化する
   DDoS 攻撃を防御するには、オペレーティング システムのセキュリティを確保する必要があります。これには、オペレーティング システムの更新と最新のセキュリティ パッチのインストール、不要なサービスとポートの無効化、ファイル システム保護の構成などが含まれます。次のコード例は、不要なサービスを無効にする方法を示しています。

# 停止服务
service <service_name> stop
# 禁止服务开机自启
chkconfig <service_name> off

4. ファイアウォールの使用
   ファイアウォールはシステムの防御の最前線であり、外部アクセスを制限し、悪意のあるトラフィックをフィルタリングできます。 Linux では、iptables は強力なファイアウォール ツールです。次のコード例は、特定の IP アドレスからのアクセスをブロックするように iptables を構成する方法を示しています。

iptables -A INPUT -s <IP_address> -j DROP

5. リバース プロキシの使用
   リバース プロキシ サーバーを使用すると、トラフィックを分散して複数のサーバーにトラフィックを誘導できるため、単一サーバーの負荷が軽減されます。一般的なリバース プロキシ サーバーには、Nginx や HAProxy などがあります。以下のコード例は、リバース プロキシ構成に Nginx を使用する方法を示しています。

http {
  ...
  upstream backend {
    server backend1.example.com;
    server backend2.example.com;
    server backend3.example.com;
  }

  server {
    listen 80;
    location / {
      proxy_pass http://backend;
    }
  }
}

概要
接続速度の制限、SYN Cookie の使用、オペレーティング システムの強化、ファイアウォールの使用、リバース プロキシの使用により、Linux システムに対する DDoS 攻撃を効果的に防御できます。ただし、単一の防御策だけではこのような攻撃を完全に解決することはできないため、システムのセキュリティを向上させるために複数の戦略を組み合わせて採用することをお勧めします。

以上がLinux で DDoS 攻撃に対する防御を設定する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。