【iptables防火墙】 -- DDos防御

已于 2025-05-13 15:31:39 修改
阅读量261 收藏 2
点赞数 3
分类专栏: iptables实现防火墙 文章标签: ddos 网络 tcp/ip
于 2025-05-12 10:47:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dformy/article/details/147888908
版权

最近有客户要定制路由器的默认防火墙等级,然后涉及到了DDos规则,对比客户提供的规则发现我们现有的规则存在明显的错误,在此记录一下如何使用iptables防护DDoS攻击

直接贴一下规则

#开启TCP SYN Cookies 机制
sysctl -w net.ipv4.tcp_syncookies=1
#减少发送SYN-ACK包的重试次数,从而达到减少半连接的存活时间效果,尽快释放队列
sysctl -w net.ipv4.tcp_synack_retries=3
#扩大半连接队列的容量
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
#每秒允许100个syn请求,且允许突发150个请求
iptables -w -I SYNFLOOD -p tcp -m tcp --syn -m limit --limit 100/s --limit-burst 150 -j RETURN
iptables -w -A SYNFLOOD -p tcp -m tcp --syn -j DROP

1.内核参数优化

sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_max_syn_backlog=2048

当服务器收到大量 TCP SYN 包(三次握手的第一步)时,内核的半连接队列(SYN Queue)可能被占满,导致合法用户无法建立连接,以此瘫痪服务器。启用 tcp_syncookies 后,内核会在队列满时生成加密的 Cookie 值代替存储连接信息,客户端返回的 ACK 包会携带此 Cookie 进行验证,从而​绕过半连接队列限制,即使攻击者发送百万级 SYN 包,也不会耗尽队列资源。

2.防火墙规则

iptables -w -I SYNFLOOD -p tcp -m tcp --syn -m limit --limit 100/s --limit-burst 150 -j RETURN
iptables -w -A SYNFLOOD -p tcp -m tcp --syn -j DROP

这一步主要是要注意将SYNFLOOD子链放在INPUT的第一个,如此即可达到限制syn连接数的同时又不影响到后续其他规则的生效。

需要注意DDos攻击无法完全防御,如果需要更好的效果,可以使用钞能力~

CentOS 6.X 安装DDoS-Deflate防御ddos攻击
pangloujun的博客
08-31 886
DDoS-Deflate是一款非常小巧的防御和减轻DDoS攻击的工具,它可以通过监测netstat来跟踪来创建大量互联网连接的IP地址信息,通过IPTABLES禁止或阻档这些非常IP地址。同样是root权限账户下执行如下命令来卸载 DDoS Deflate。
防火墙技术-iptables
m0_51586984的博客
03-19 1089
线路1:网络1进入,网络1出去;线路2:网络1进入,网络2出去;线路3:网络1转发,网络2转发白名单:只有哪些人可以访问;黑名单:只有哪些人不能访问。iptables有四表五链流入 PREROUTING---> INPUT流出 OUTPUT ---> POSTROUTING转发 PREROUTING ---> FORWARD ---> POSTROUTING优先级次序:Raw(跟踪)>mangle(标记)>nat(修改)>fliter(过滤)规则链之间的顺序。
linux软防火墙DDOS,Linux iptables防火墙详解 + 配置抗DDOS***策略实战
weixin_32667011的博客
05-12 699
inux iptables防火墙详解 + 配置抗DDOS***策略实战Linux 内核中很早就实现了网络防火墙功能,在不同的Linux内核版本中,使用了不同的软件实现防火墙功能。在2.0内核中,防火墙操作工具叫:ipfwadm在2.2内核中,防火墙操作工具叫:ipchains在2.4以后的内核,防火墙操作工具叫:iptablesipfwadm 和 ipchains 比较老,已成历史版本,本章主要介...
linux 软防火墙 DDOS,Linux iptables防火墙详解 + 配置抗DDOS攻击策略实战
weixin_39633891的博客
05-12 734
inux iptables防火墙详解 + 配置抗DDOS攻击策略实战 Linux 内核中很早就实现了网络防火墙功能,在不同的Linux内核版本中,使用了不同的软件实现防火墙功能。在2.0内核中,防火墙操作工具叫:ipfwadm在2.2内核中,防火墙操作工具叫:ipchains在2.4以后的内核,防火墙操作工具叫:iptablesipfwadm 和 ipchains 比较老,已成历史版本,本章主要介...
网络安全——IptablesDDoS攻击实验
网络工程
12-12 2630
根据TCP协议传输的特点,攻击方向目标发送大量伪造的TCP连接请求,即目标主机在发出SYN+ACK应答报文后无法收到ACK报文,第三次握手失败,从而使目标连接资源耗尽,无法正常响应TCP的连接请求。"net.ipv4.tcp_max_syn_backlog"定义了处于SYN_RECV的TCP最大连接数,当处于SYN_RECV状态的TCP连接数超过tcp_max_syn_backlog后,会丢弃后续的SYN报文。2)变化的IP发起攻击,控制单个IP的最大并发连接数,即在一定时间内允许新建立的连接数。
防火墙-CentOS7-firewalld
sq2048935747@163.com的博客
09-26 1283
防火墙是一种网络安全设备或软件,旨在监控和控制进出网络的流量,以保护内部网络免受外部攻击和不必要的访问。在防火墙中,“入站”和“出站”是用来描述网络流量方向的两个基本概念。1. 入站流量(Inbound Traffic)定义:入站流量指的是从外部网络(例如互联网)进入内部网络或计算机的所有数据包。特点来源:入站流量的源地址通常是外部IP地址。目的:目的地是防火墙内部的特定设备或服务(如服务器、工作站等)。管理规则设置:防火墙会根据设定的规则决定是否允许这些入站数据包通过。
Centos 6设置iptables防火墙,简单防护DDOS和CC攻击
moliyiran的专栏
04-03 2258
这个教程将向您展示如何在Centos内设置一个简单的防火墙。您可以自定义那个端口开放,那个端口关闭。同时还会展示如何防御一些较为简单的攻击。当然这个教程只是简单的向您展示防火墙的基本用法 比如 开放Apache,SSH,Email的使用端口iptables 是一个简单的防火墙,它被安装在大多数的Linux发行版上。iptables官方手册说它仅仅是个ipv4的封包过滤,NAT工具防御攻击我们添加几...
使用 IPtables 进行 DDoS 保护
allway2的博客
07-28 3617
有多种方法可以为 iptables 构建自己的反 DDoS 规则。我们将在本综合教程中讨论最有效的 iptables DDoS 保护方法。本指南将教您如何:请注意,本文是为每天与 Linux 服务器打交道的专业人士编写的。如果您只想保护您的在线应用程序免受 DDoS 攻击,您可以使用我们的远程保护、具有 DDoS 保护的 VPS 或受 DDoS 保护的裸机服务器。虽然使用 iptables 可以做很多事情来阻止 DDoS 攻击,但没有办法绕过实际的硬件防火墙(我们最近审查了 RioRey DDoS 缓解硬件
linux 防火墙ddos,Linux防火墙iptables以及如何防御DDOS攻击
weixin_29090677的博客
05-12 468
查看防火墙状态若出现:说明未开启防火墙;若出现类似:等,则说明开启了防火墙。你还可以使用:来查看防火墙规则。如何开启防火墙永久生效法,重启后也是生效的:即时生效,重启后无效:防火墙端口控制查看打开的端口关闭端口号防火墙设置预防DDOS攻击http://blog.csdn.net/zqtsx/article/details/9405515iptables -A INPUT -p tcp -m tcp...
网络安全_DDoS防御_CC攻击防护_iptables防火墙_Nginx日志分析_自动化脚本_IP黑名单管理_实时流量监控_恶意请求过滤_服务器安全加固_Web应用防护_攻击特征识.zip
04-29
网络安全_DDoS防御_CC攻击防护_iptables防火墙_Nginx日志分析_自动化脚本_IP黑名单管理_实时流量监控_恶意请求过滤_服务器安全加固_Web应用防护_攻击特征识
Iptables防火墙connlimit模块扩展匹配规则
11
01-28 597
connlimit模块的作用是限制请求报文对特定服务的并发连接数限制的,例如Telnet服务,默认情况下没有并发连接数的限制,可以允许n个客户端同时连接,如果应用了connlimit模块,可以对并发连接数进行限制。数据流入的操作,在INPUT链的filter表添加相应的规则。同时登陆两个ssh没问题,第三个时就提示无法连接了。案例:每个客户端主机仅允许同时对本机发起两个。
58-DOS与DDOS分析(正常TCP会话与SYN Flood攻击、ICMP Flood 攻击、SNMP放大攻击等)
XLbb的博客
06-21 1854
Syn-Flood攻击、sockstress攻击、DNS放大攻击(产生大流量的攻击方法-单机的带宽优势 -巨大单机数量形成的流量汇聚-利用协议特性实现放大效果的流量)、Slowhttptest (源自google)低带宽应用层慢速DoS攻击(相对于CC等快速攻击而言的慢速) 、应用层DoS(应用服务漏洞、缓冲区溢出漏洞、CesarFTP 0.99 服务漏洞、Slowhttptest (源自google))
企业该如何选择合适的DDOS防护?
wanhengidc的博客
05-07 371
在互联网行业当中,大型的网络游戏和网络视频企业会经常受到DDOS攻击和CC攻击,这些网络攻击会导致服务器崩溃或者是网络中断,给企业造成巨大的经济损失,所以企业通常会配备合适的DDOS防护来进行防御,但是,对于多种多样的DDOS防护企业该如何进行选择呢?不同的业务场景对于DDOS防护的需求也是不同了,万恒拥有着大量的DDOS清洗能力,有着大量的网络带宽,能够有效应对各种大规模的DDOS攻击,可以将一下恶意流量进行初步过滤掉,并将网络流量进行清洗,从而做到阻断网络攻击,保证服务器的安全。
电商平台如何做好DDoS 攻防战?
BEST_yundun的博客
05-09 1079
电商平台如何做好DDOS防护
2025年API安全防御全解析:应对DDoS与CC攻击的智能策略
2403_86962125的博客
05-09 905
2025年,企业需以技术为核心,拥抱合规与协作,方能在攻防博弈中掌控主动权。生成式AI模拟真实用户操作轨迹(如登录间隔、API调用逻辑),攻击流量与正常流量差异率低至0.5%,传统规则引擎难以检测。攻击时长压缩至分钟级,5分钟“闪击战”占比超60%,攻击者通过物联网僵尸网络发起分布式打击,企业应急响应时间窗口大幅缩短。:某头部支付平台在促销期间遭遇混合攻击(HTTP Flood+CC),峰值流量4.8Tbps,支付接口瘫痪12小时。建立行业安全白名单,对合规企业提供网络安全保险,分散因攻击导致的经营风险。
2025年网站安全防御全解析:应对DDoS与CC攻击的智能策略
2403_86962125的博客
05-12 905
通过高防CDN(如腾讯云、阿里云)将域名解析至CNAME,结合Anycast技术分流攻击流量至全球清洗节点,实测可抵御5Tbps以上流量冲击。攻击者利用生成式AI模拟用户操作轨迹(如登录频率、页面停留时间),攻击流量与正常流量差异率低至0.5%,传统规则引擎难以检测。劫持智能摄像头、传感器等设备构建僵尸网络,攻击流量占比超40%,单次攻击峰值可达8Tbps,地缘化攻击激增117%。:动态扩展云服务器集群,通过Nginx反向代理分散请求压力,某电商平台实测负载下降60%,业务恢复时间缩短至20分钟。
华三路由器单臂路由配置
兔子的博客
05-13 827
默认网关是 PC 发送跨 VLAN 流量时的目标地址,通过配置默认网关,PC 可以将跨 VLAN 的流量发送到路由器的子接口,从而实现不同 VLAN 之间的通信。此命令通常用于将交换机的接入端口配置为属于某个特定的 VLAN,使得连接到该端口的设备只能在对应的 VLAN 内通信,实现广播域的隔离和网络流量的划分。解析:在路由器的物理接口上创建子接口。通过上述配置和验证步骤,可以成功实现华三路由器的单臂路由功能,确保不同 VLAN 之间的流量能够通过路由器进行转发,同时保持 VLAN 之间的隔离。
BGP联邦实验
最新发布
xy021111的博客
05-13 254
1.AS1存在两个环回,一个地址为192.168.1.0/24,该地址不能再任何协议中宣告AS3存在两个环回,一个地址为192.168.2.0/24,该地址不能再任何协议中宣告AS1还有一个环回地址为10.1.1.0/24,AS3另一个环回地址是11.1.1.0/24最终要求这两个环回可以互相通讯。2.整个AS2的IP地址为172.16.0.0/163.AS间的骨干链路Ip地址随意分配4.使用BGP协议让整个网络所有设备的环回可以互相访问5.减少路由条目数量,避免环路出现。
防御拒绝服务攻击,设置iptables防火墙策略对传入的流量进行过滤,限制每分钟允许3个包传入,并将瞬间流量设定为一次最多处理6个数据包(超过上限的网络数据包将丢弃不予处理);iptables -A INPUT -m limit --limit 3/m --limit-burst 6 -j ACCEPT
04-03
### 配置 iptables 限流规则以防御 DDoS 或 DoS 攻击 为了有效防止分布式拒绝服务 (DDoS) 或拒绝服务 (DoS) 攻击,可以利用 `iptables` 提供的流量限制功能来控制传入连接的速度。以下是基于指定参数 `--limit 3/m` 和 `--limit-burst 6` 的配置方法。 #### 设置 SYN 数据包速率限制 SYN 数据包通常是 TCP 连接建立的第一步,在遭受攻击时可能会大量涌入。可以通过以下命令限制每分钟允许的最大 SYN 请求次数: ```bash /sbin/iptables -A INPUT -p tcp --syn -m limit --limit 3/min --limit-burst 6 -j ACCEPT ``` 此规则的作用如下: - `-p tcp`: 指定协议为 TCP。 - `--syn`: 只匹配带有 SYN 标志的数据包。 - `-m limit`: 使用 `limit` 扩展模块来定义速率限制条件。 - `--limit 3/min`: 设定平均每分钟最多接受 3 个新请求[^3]。 - `--limit-burst 6`: 初始突发阈值设为 6,即前几个请求可以在短时间内超过平均速率直到达到该上限[^1]。 如果超出设定范围,则这些额外的请求会被丢弃而不触发进一步处理逻辑。 #### 安装与启用 iptables 在某些系统上可能需要先安装并启动 `iptables` 服务才能应用上述规则。例如,在 CentOS/RHEL 系统中执行以下操作即可完成部署准备阶段的工作流程: ```bash yum -y install iptables iptables-services systemctl enable iptables systemctl start iptables ``` 这里提到的是标准实践过程的一部分内容[^5];然而需要注意不同发行版之间可能存在差异因此建议查阅官方文档获取最精确指导信息。 #### 自动化 IP 封锁机制 除了手动添加防护措施外还可以考虑构建自动化解决方案以便实时响应潜在威胁情况的发生。下面给出了一种简单版本脚本思路用于检测异常活动并将恶意源地址加入黑名单列表当中去: ```bash #!/bin/bash LOGFILE="/var/log/ddos.log" BLOCKTIME=600 # 单位秒 while true; do BADIPS=$(iptables -L -n -v | awk '{if($1=="DROP")print $9}'|sort|uniq -c|awk '$1>10{print $2}') for ip in ${BADIPS};do /sbin/iptables -I INPUT -s "${ip}" -j DROP && echo "$(date): Blocked ${ip}" >>"${LOGFILE}" sleep ${BLOCKTIME} /sbin/iptables -D INPUT -s "${ip}" -j DROP && echo "$(date): Unblocked ${ip}" >>"${LOGFILE}" done done ``` 这个循环程序会持续运行,并定期检查是否有任何 IP 地址频繁尝试访问服务器却遭到拒绝的情况发生。一旦发现符合条件的目标就会立即实施封锁动作同时记录日志文件方便后续审计分析工作开展下去[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值