DOS攻撃を防御するためにiptablesのrecentモジュールを利用する

設定内容:

#各IPのHTTP併発要求の最大値を設定

iptables -I INPUT -p tcp –dport 80 -m connlimit –connlimit-above 10 -j DROP

# /proc/net/xt_recent/HTTPに作成したばかりリクエストを記録
iptables -A INPUT -p tcp –dport 80 -m state –state NEW -m recent –set –name HTTP

# 同じ送信元アドレス11回に達すると、LOGに記録される
iptables -A INPUT -p tcp –dport 80 -m state –state NEW -m recent –update –seconds 60 –hitcount 11 –name HHTP -j LOG –log-prefix “HHTP Attach: "

# 同じ送信元アドレス11回に達すると、アクセスが拒否される
iptables -A INPUT -p tcp –dport 80 -m state –state NEW -m recent –update –seconds 60 –hitcount 11 –name SSH -j DROP

 

 

Linux

Posted by arkgame