为iptables增加connlimit模块 限制DOS攻击

注:2.6.23以前的内核版本默认不支持 connlimit

推荐规则

iptables -A INPUT -p tcp -m tcp -m connlimit --dport 80 --tcp-flags SYN,ACK,FIN,RST SYN -j DROP --connlimit-above 32 --connlimit-mask 32
如果/var/logs/message出现

ipt_connlimit: Oops: invalid ct state ?

在这条规则前面加一条

iptables -A INPUT -m conntrack -j DROP --ctstate INVALID
阻断非法数据包

查看效果

iptables -n -L -v |grep conn
17479 1033K DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x17/0x02 #conn/32 > 32

(0)

相关推荐

  • 路由器防御Dos攻击的新方法

     DoS (Denial of Service)攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。 dos攻击的方法很多,但它们都具有一些共同的典型特征,例如:使用欺骗 ...

  • 密码过长也不安全 易被黑客利用发起DoS攻击

    据国外媒体报道,Django开源Web应用框架周一放出一款安全补丁,指出过长的密码其实也存在安全问题,容易被黑客利用成为DoS攻击手段之一. 过去相当一段时间,我们都强调要用复杂且较长的密码来保护我们 ...

  • DoS攻击原理分析

    TCP/IP协议的权限DoS (拒绝服务攻击)----- Denial of Service 该攻击的原理是利用TCP报文头来做的文章. TCP数据段头格式 01 下面是TCP数据段头格式. Sour ...

  • DOS攻击工具HGod操作手册

    为要攻击的目标,可以是计算机名,域名或者IP地址.为要攻击的目标端口.IGMP/ICMP攻击模式可以随便设置一个端口. 如果是SYN Flood可以支持多端口同时攻击. 如SYN Flood攻击20- ...

  • netfilter/iptables模块编译及应用

    by KindGeorge # yahoo.com 2005.4.2 at ChinaUnix.net 相信很多人都会用iptables,我也一直用,并且天天用.特别是看完platinum的<& ...

  • 利用iptables来缓解和预防DDOS及CC攻击

    iptables防ddos方法实例 缓解DDOS攻击 #防止SYN攻击,轻量级预防 iptables -N syn-flood iptables -A INPUT -p tcp –syn -j syn ...

  • 怎么理解DOS和DDOS攻击 又该如何防范?

    对于租用服务器建站的朋友来说,可能经常会听到DOS攻击.DDOS攻击等事件.不过,想必很多站长都把DOS攻击等同于DDOS攻击,认为这两者是相同的.其实,这个一个错误的理解. 操作方法 01 我们常说 ...

  • 用路由器防止DoS拒绝服务疯狂攻击

    拒绝服务(DoS)攻击是目前黑客广泛使用的一种攻击手段,它通过独占网络资源、使其他主机不能进行正常访问,从而导致宕机或网络瘫痪。 DoS攻击主要分为Smurf、SYN Flood和Fraggle三种, ...

  • 和大家一起分享不错的iptables

    我想下面的脚本很容易看懂!当然 如果没看懂提出来,我很乐意解答!当然,也很希 望 你们可以指出错误 !很感谢大家的指导 ,特别是platinum! 环境:redhat9 加载了string time等 ...