红联Linux门户
Linux帮助

iptables 如何防止 syn ddos ping 攻击

发布时间:2017-09-28 10:10:45来源:红联作者:Ronny
配置防火墙防止syn,ddos攻击

[root@m176com ~]# vim /etc/sysconfig/iptables
在iptables中加入下面几行
#anti syn,ddos
-A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT
-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
-A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
说明:第一行:每秒中最多允许5个新连接。第二行:防止各种端口扫描。第三行:Ping洪水攻击(Ping of Death),可以根据需要调整或关闭

重启防火墙

[root@m176com ~]# /etc/init.d/iptables restart
屏蔽一个IP

# iptables -I INPUT -s 192.168.0.1 -j DROP
怎么防止别人ping我??

# iptables -A INPUT -p icmp -j DROP
防止同步包洪水(Sync Flood)

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
防止各种端口扫描

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ping洪水攻击(Ping of Death)

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
NMAP FIN/URG/PSH
# iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

Xmas Tree
# iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP

Another Xmas Tree
# iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

Null Scan(possibly)
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP

SYN/RST
# iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

SYN/FIN -- Scan(possibly)
# iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
限制对内部封包的发送速度

#iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
限制建立联机的转

#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
本文转载自:http://www.linuxprobe.com/iptables-syn-ddos-ping.html

免费提供最新Linux技术教程书籍,为开源技术爱好者努力做得更多更好,开源站点:http://www.linuxprobe.com/
文章评论

共有 1 条评论

  1. Ronny 于 2017-09-28 10:12:56发表:

    good