使用iptables防止DDoS攻击可以通过多种方式实现,以下是一些常见的方法:
通过限制每个IP地址在一定时间内的连接数,可以有效防止DDoS攻击。
# 限制每秒最多10个新的连接请求
iptables -A INPUT -p tcp --syn -m limit --limit 10/s -j ACCEPT
# 限制每分钟最多100个新的连接请求
iptables -A INPUT -p tcp --syn -m limit --limit 100/m -j ACCEPT
限制每个IP地址的总连接数,可以防止某个IP地址发起大量连接。
# 限制每个IP地址最多100个连接
iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 100 -j DROP
限制特定端口的连接数,可以防止攻击者针对特定服务进行攻击。
# 限制SSH端口(22)的连接数
iptables -A INPUT -p tcp --dport 22 -m limit --limit 5/s -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 10 -j DROP
SYN Cookies是一种防止SYN Flood攻击的技术,可以减少服务器的内存消耗。
# 启用SYN Cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
丢弃无效的数据包,如重复的ACK包、RST包等,可以减少服务器的处理负担。
# 丢弃重复的ACK包
iptables -A INPUT -p tcp --tcp-flags ACK,FIN ACK -j DROP
# 丢弃重复的RST包
iptables -A INPUT -p tcp --tcp-flags RST RST -j DROP
限制ICMP包的数量,可以防止ICMP Flood攻击。
# 限制每秒最多1个ICMP Echo Request
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
Fail2Ban是一个入侵防御软件框架,可以自动禁止恶意IP地址。
# 安装Fail2Ban
sudo apt-get install fail2ban
# 配置Fail2Ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
定期监控和日志分析可以帮助及时发现异常流量和潜在的DDoS攻击。
# 查看iptables日志
sudo tail -f /var/log/kern.log | grep iptables
通过综合运用这些方法,可以有效地提高系统的安全性,防止DDoS攻击。
