什么是syn,ddos,ping
SYN (Synchronize):
在 TCP(传输控制协议)中,SYN 是握手过程的一部分。当客户端尝试与服务器建立连接时,它发送一个带有 SYN 标志的数据包。服务器收到 SYN 数据包后,通常会回复一个带有 SYN 和 ACK(确认)标志的数据包,表示接受连接。最后,客户端再发送一个带有 ACK 标志的数据包,表示握手完成。这个过程通常称为三次握手。
DDoS (Distributed Denial of Service):
DDoS 攻击是一种网络攻击,通过在短时间内向目标服务器发送大量的请求,使其超负荷,无法正常响应合法用户的请求。这些请求可以是来自多个分布式计算机的,使得攻击者能够利用分布式网络资源来发动攻击,使攻击更难以阻止。
配置防火墙防止syn,ddos攻击
# vim /etc/sysconfig/iptables 在iptables中加入下面几行 #anti syn,ddos -A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
说明:第一行:每秒中最多允许5个新连接
第二行:防止各种端口扫描
第三行:Ping洪水攻击(Ping of Death),可以根据需要调整或关闭
重启防火墙
# /etc/init.d/iptables restart
屏蔽一个IP
# iptables -I INPUT -s 192.168.0.1 -j DROP
怎么防止别人ping我
# iptables -A INPUT -p icmp -j DROP
防止同步包洪水(Sync Flood)
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
防止各种端口扫描
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ping洪水攻击(Ping of Death)
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT NMAP FIN/URG/PSH # iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP Xmas Tree # iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP Another Xmas Tree # iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP Null Scan(possibly) iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP SYN/RST # iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP SYN/FIN -- Scan(possibly) # iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
限制对内部封包的发送速度
# iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
限制建立联机的转发
# iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
原创文章,作者:AIRF,如若转载,请注明出处:http://www.ai-rf.com/index.php/2023/12/16/iptables%e6%80%8e%e4%b9%88%e9%98%b2%e6%ad%a2%e5%b8%b8%e8%a7%81%e7%bd%91%e7%bb%9c%e6%94%bb%e5%87%bb/
