Konfigurasikan tembok api untuk menghalang syn, serangan ddos
[root@m176com ~]# vim /etc/sysconfig/iptables 在iptables中加入下面几行 #anti syn,ddos -A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
Nota: Baris pertama: Benarkan sehingga 5 sambungan baharu sesaat. Baris kedua: Cegah pelbagai imbasan port. Baris ketiga: Serangan banjir ping (Ping of Death), yang boleh dilaraskan atau dimatikan mengikut keperluan
Mulakan semula tembok api
[root@m176com ~]# /etc/init.d/iptables restart
Sekat IP
# iptables -I INPUT -s 192.168.0.1 -j DROP
Bagaimana untuk menghalang orang lain daripada melakukan ping kepada saya? ?
# iptables -A INPUT -p icmp -j DROP
Cegah Banjir Segerak
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
Mencegah pelbagai imbasan port
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ping Serangan Banjir (Ping Kematian)
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
NMAP FIN/URG/PSH # iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP Xmas Tree # iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP Another Xmas Tree # iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP Null Scan(possibly) iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP SYN/RST # iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP SYN/FIN -- Scan(possibly) # iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
Hadkan kelajuan penghantaran paket dalaman
#iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
Hadkan pemindahan apabila membuat sambungan
#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
Atas ialah kandungan terperinci Bagaimana untuk bertahan daripada serangan SYN DDoS dan Ping menggunakan iptables. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!