Cara menyediakan pertahanan terhadap serangan DDoS pada Linux
Dengan perkembangan pesat Internet, ancaman keselamatan rangkaian juga meningkat dari hari ke hari. Salah satu kaedah serangan biasa ialah serangan penafian perkhidmatan (DDoS) diedarkan. Serangan DDoS direka untuk membebankan rangkaian sasaran atau pelayan supaya ia tidak dapat berfungsi dengan baik. Di Linux, terdapat beberapa langkah yang boleh kita ambil untuk mempertahankan diri daripada serangan ini. Artikel ini akan memperkenalkan beberapa strategi pertahanan biasa dan memberikan contoh kod yang sepadan.
- Hadkan kelajuan sambungan
Serangan DDoS biasanya cenderung untuk menghabiskan sumber sistem melalui sejumlah besar permintaan sambungan. Kita boleh menggunakan alat iptables untuk mengehadkan kelajuan sambungan satu alamat IP. Contoh kod di bawah akan membenarkan sehingga 10 sambungan baharu sesaat, sambungan di atas kelajuan ini akan digugurkan.
iptables -A INPUT -p tcp --syn -m limit --limit 10/s --limit-burst 20 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
Salin selepas log masuk
- Menggunakan kuki SYN
Serangan banjir SYN dalam serangan DDoS ialah cara biasa untuk menggunakan sumber sistem dengan mengeksploitasi kelemahan dalam protokol jabat tangan tiga hala TCP. Kernel Linux menyediakan mekanisme kuki SYN untuk bertahan daripada serangan ini. Dengan kuki SYN didayakan, pelayan tidak akan menggunakan terlalu banyak sumber semasa memproses permintaan sambungan. Contoh kod berikut menunjukkan cara mendayakan kuki SYN.
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
Salin selepas log masuk
- Keraskan sistem pengendalian
Untuk mempertahankan diri daripada serangan DDoS, kita perlu memastikan keselamatan sistem pengendalian. Ini termasuk mengemas kini sistem pengendalian dan memasang tampung keselamatan terkini, melumpuhkan perkhidmatan dan port yang tidak diperlukan, mengkonfigurasi perlindungan sistem fail dan banyak lagi. Contoh kod berikut menunjukkan cara untuk melumpuhkan perkhidmatan yang tidak diperlukan.
# 停止服务
service <service_name> stop
# 禁止服务开机自启
chkconfig <service_name> off
Salin selepas log masuk
- Gunakan tembok api
Tembok api ialah barisan pertahanan pertama untuk sistem kami, mengehadkan akses luaran dan menapis trafik berniat jahat. Di Linux, iptables ialah alat tembok api yang berkuasa. Contoh kod berikut menunjukkan cara mengkonfigurasi iptables untuk menyekat akses daripada alamat IP tertentu.
iptables -A INPUT -s <IP_address> -j DROP
Salin selepas log masuk
- Menggunakan proksi terbalik
Pelayan proksi terbalik boleh membantu kami menyebarkan trafik dan mengarahkannya ke berbilang pelayan, dengan itu mengurangkan beban pada satu pelayan. Pelayan proksi terbalik biasa termasuk Nginx dan HAProxy. Contoh kod di bawah menunjukkan cara menggunakan Nginx untuk konfigurasi proksi terbalik.
http {
...
upstream backend {
server backend1.example.com;
server backend2.example.com;
server backend3.example.com;
}
server {
listen 80;
location / {
proxy_pass http://backend;
}
}
}
Salin selepas log masuk
Ringkasan
Dengan mengehadkan kelajuan sambungan, menggunakan kuki SYN, mengeraskan sistem pengendalian, menggunakan tembok api dan menggunakan proksi terbalik, kami boleh mempertahankan dengan berkesan daripada serangan DDoS pada sistem Linux. Walau bagaimanapun, langkah pertahanan tunggal tidak dapat menyelesaikan sepenuhnya serangan sedemikian, jadi disyorkan untuk menggunakan gabungan pelbagai strategi untuk meningkatkan keselamatan sistem.
Atas ialah kandungan terperinci Bagaimana untuk menyediakan pertahanan terhadap serangan DDoS pada Linux. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!