iptables功能很多，我在這里教給大家一種小技巧：用iptables來(lái)防止web服務(wù)器被CC攻擊

　　使用iptables來(lái)防止web服務(wù)器被CC攻擊

　　當(dāng)apache站點(diǎn)受到嚴(yán)重的cc攻擊，我們可以用iptables來(lái)防止web服務(wù)器被CC攻擊，實(shí)現(xiàn)自動(dòng)屏蔽IP的功能。

　　1.系統(tǒng)要求

　　(1)LINUX 內(nèi)核版本：2.6.9-42ELsmp或2.6.9-55ELsmp(其它內(nèi)核版本需要重新編譯內(nèi)核，比較麻煩，但是也是可以實(shí)現(xiàn)的)。

　　(2)iptables版本：1.3.7

　　2. 安裝

　　安裝iptables1.3.7和系統(tǒng)內(nèi)核版本對(duì)應(yīng)的內(nèi)核模塊kernel-smp-modules-connlimit

　　3. 配置相應(yīng)的iptables規(guī)則

　　示例如下：

　　(1)控制單個(gè)IP的最大并發(fā)連接數(shù)

　　iptables -I INPUT -p tcp --dport 80 -m connlimit

　　--connlimit-above 50 -j REJECT

　　#允許單個(gè)IP的最大連接數(shù)為 30

　　(2)控制單個(gè)IP在一定的時(shí)間(比如60秒)內(nèi)允許新建立的連接數(shù)

　　iptables -A INPUT -p tcp --dport 80 -m recent

　　--name BAD_HTTP_ACCESS --update --seconds 60

　　--hitcount 30 -j REJECT

　　iptables -A INPUT -p tcp --dport 80 -m recent

　　--name BAD_HTTP_ACCESS --set -j ACCEPT

　　#單個(gè)IP在60秒內(nèi)只允許最多新建30個(gè)連接

　　4. 驗(yàn)證

　　(1)工具：flood_connect.c(用來(lái)模擬攻擊)

　　(2)查看效果：

　　使用

　　watch 'netstat -an | grep:21 | grep<模擬攻擊客戶機(jī)的IP>| wc -l'

　　實(shí)時(shí)查看模擬攻擊客戶機(jī)建立起來(lái)的連接數(shù)，

　　使用

　　watch 'iptables -L -n -v | grep<模擬攻擊客戶機(jī)的IP>'

　　查看模擬攻擊客戶機(jī)被 DROP 的數(shù)據(jù)包數(shù)。

　　5.注意

　　為了增強(qiáng)iptables防止CC攻擊的能力，最好調(diào)整一下ipt_recent的參數(shù)如下：

　　#cat/etc/modprobe.conf

　　options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60

　　#記錄1000個(gè)IP地址，每個(gè)地址記錄60個(gè)數(shù)據(jù)包

　　#modprobe ipt_recent

通過文章的描述，我們知道如何利用iptables來(lái)防止web服務(wù)器被CC攻擊！希望本文對(duì)大家有所幫助！

【編輯推薦】

1. 常用服務(wù)iptables設(shè)置
2. Iptables性能測(cè)試
3. iptables nat實(shí)驗(yàn)
4. iptables 簡(jiǎn)單學(xué)習(xí)筆記
5. 在Red Hat上安裝iptables
6. 搭建基于netfilter/iptables的實(shí)驗(yàn)環(huán)境
7. 用IPtables限制BT、電驢等網(wǎng)絡(luò)流量