一客户的网站,给我反应经常是服务器资源耗尽,三天二天的死机,登陆不久正好又发起新一轮的攻击,一个IP发起超过500个连接请求,系统负载一个升到100多,非常艰难地在用iptables把这个IP禁止掉,系统负载几分钟后,降到0.1左右
针对DoS攻击,用iptables直接禁止或者限制发起DoS源IP防问 问题就解决了。
于是想制了iptables的限速功能 经过一下午的不断测试,实现了我的需求
使用iptables 设定单个客户机的指定时间内发起最大连接数请求,超过限制的直接DROP
iptables -A INPUT -p tcp –dport 80 -m state –state NEW -m recent –set –name WEB
iptables -A INPUT -p tcp –dport 80 -m state –state NEW -m recent –update –seconds 30 –hitcount 20 –rttl –name WEB -j DROP
上例为30秒内20次