哪位来谈谈如何防范DOS攻击!
目前有什么好的方法吗?
iptables –A INPUT –p tcp --dport 80 –m limit --limit 10/second --limit-burst 200 –j ACCEPT
上面的例子是在传达这样一个意思,主机的80端口对外开放,系统资源允许每秒新建立250个会话,主机通过iptables设置了能够提供每秒200个新会话的容量(通常情况下,我们需要为服务器或主机本身考虑一些冗余),在正常情况下,这个数值完全能够满足应用的要求,但如果有某个攻击者对主机的80端口进行拒绝服务攻击,每秒200个新会话的容量也许一会的功夫就被用光了,对于一个没有保护措施的主机来讲,系统马上就会瘫痪,但由于我们设置了一定的保护措施,即便有攻击过来,在iptables这一关就会被丢弃。在这之后,iptables会每秒重新给主机10个新的会话名额,使之能够处理新的连接。在新来的连接请求中,有正常的连接请求,也有一些是攻击,但无论如何,通过这种方式,我们保证了服务器始终不会被攻瘫掉。
请问一下,这里的250个会话是系统默认的还是自己可以设置?如果是自己设置,在哪?是APACHE中的 maxclient 这个吗??
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
google "syncookie"
google "synproxy"
嗯。syncookie,现在很多防DDOS产品都这么做的,就是看硬件处理能力versus“僵尸”主机台数