我正在考虑以下替代方案.你会推荐哪一个?你有没有实现这些,以及如何实现?
>使用源端口限制Web服务器(iptables)传出TCP数据包!= 80
>相同但排队(tc)
>每个服务器每个用户的速率限制传出流量.相当大的管理负担,因为每个应用服务器可能有1000个不同的用户.也许这个:how can I limit per user bandwidth?
>还有别的吗?
当然,我也在寻找方法来尽量减少黑客进入我们托管站点的机会,但由于该机制永远不会100%防水,我想严格限制入侵的影响.
更新:我目前正在测试这些规则,这可以防止这种特定的攻击.您如何建议使它们更通用?当我只对SYN数据包进行速率限制时,我是否错过了已知的TCP DoS攻击?
iptables -A OUTPUT -p tcp --syn -m limit --limit 100/min -j ACCEPTiptables -A OUTPUT -p tcp --syn -m limit --limit 1000/min -j LOG --log-prefix "IPtables-Dropped: " --log-level 4iptables -A OUTPUT -p tcp --syn -j REJECT --reject-with tcp-reset
干杯!
解决方法 我认为最好的解决方案和对我来说非常好的解决方案是限制目标IP的连接/数据包的数量.将限制设置为合理的速率将阻止攻击者向目标发送大量连接.设置端口和协议不是一个好主意,因为如果攻击者今天发送http泛滥,明天他将使用不同类型的攻击.所以限制每个IP的连接一般将是您的问题的解决方案.
我希望它有帮助:)
总结以上是内存溢出为你收集整理的Linux:防止传出TCP泛洪全部内容,希望文章能够帮你解决Linux:防止传出TCP泛洪所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)