iptables之limit-凯发app官方网站

凯发app官方网站-凯发k8官网下载客户端中心 | | 凯发app官方网站-凯发k8官网下载客户端中心
  • 博客访问: 139078
  • 博文数量: 41
  • 博客积分: 51
  • 博客等级: 民兵
  • 技术积分: 225
  • 用 户 组: 普通用户
  • 注册时间: 2007-08-31 22:53
文章分类
文章存档

2013年(15)

2012年(25)

2011年(1)

分类:

2012-10-31 14:47:07

原文地址: 作者:gray1982

 iptables --limit --limit-burst 使用研究

1、限制特定包传入速度
2、限制特定端口传入频率
3、使用--limit限制ping的一个例子
4、用户自定义使用链
5、防范syn-flood碎片攻击

1、限制特定包传入速度
参数 -m limit --limit 
范例 iptables -a input -m limit --limit 3/hour 
说明 用来比对某段时间内封包的平均流量,上面的例子是用来比对:每小时平均流量是否超过一次 3 个封包。 除了每小时平均 
次外,也可以每秒钟、每分钟或每天平均一次,默认值为每小时平均一次,参数如后: /second、 /minute、/day。 除了进行封 
数量的比对外,设定这个参数也会在条件达成时,暂停封包的比对动作,以避免因骇客使用洪水攻击法,导致服务被阻断。

2、限制特定包瞬间传入的峰值
参数 --limit-burst 
范例 iptables -a input -m limit --limit-burst 5 
说明 用来比对瞬间大量封包的数量,上面的例子是用来比对一次同时涌入的封包是否超过 5 个(这是默认值),超过此上限的封 
将被直接丢弃。使用效果同上。


3、使用--limit限制ping的一个例子

限制同时响应的 ping (echo-request) 的连接数
限制每分只接受一個 icmp echo-request 封包(注意:当已接受1个icmp echo-request 封包后,
iptables将重新统计接受之后的一秒内接受的icmp echo-request 封包的个数,此刻为0个,所以它会继续接受icmp echo-request包,
出现的结果是你在1分钟时间内将看到很多

reply from 192.168.0.111: bytes=32 time<1ms ttl=64
reply from 192.168.0.111: bytes=32 time<1ms ttl=64
reply from 192.168.0.111: bytes=32 time<1ms ttl=64
reply from 192.168.0.111: bytes=32 time<1ms ttl=64
reply from 192.168.0.111: bytes=32 time<1ms ttl=64
reply from 192.168.0.111: bytes=32 time<1ms ttl=64
reply from 192.168.0.111: bytes=32 time<1ms ttl=64
reply from 192.168.0.111: bytes=32 time<1ms ttl=64

响应结果,若你同时开好几个ping窗口,你会发现任一时刻只有一个会有响应//--limit 1/m 所限制)

#iptables -a input -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j accept
#iptables -a input -p icmp --icmp-type echo-request -j drop

--limit 1/s 表示每秒一次; 1/m 则为每分钟一次
--limit-burst 表示允许触发 limit 限制的最大次数 (预设 5)

4、用户自定义使用链

上面例子的另一种实现方法:

#iptables -n pinglimit
#iptables -a pinglimit -m limit --limit 1/m --limit-burst 1 -j accept
#iptables -a pinglimit -j drop
#iptables -a input -p icmp --icmp-type echo-request -j pinglimit

5、防范 syn-flood 碎片攻击

#iptables -n syn-flood
#iptables -a syn-flood -m limit --limit 100/s --limit-burst 150 -j return
#iptables -a syn-flood -j drop
#iptables -i input -j syn-flood

阅读(548) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~
")); function link(t){ var href= $(t).attr('href'); href ="?url=" encodeuricomponent(location.href); $(t).attr('href',href); //setcookie("returnouturl", location.href, 60, "/"); }
网站地图