iptables指令:
其中 SERVER_IP 换上为可能被攻击的服务器IP地址。
解释:
1、第一行:-I,将本规则插入到 INPUT 链里头的最上头。
只要是 TCP 性质的联机,目标端口是80,目标 IP 是我们机器的IP地址,刚刚新被建立起来时,将这个联机列入 httpuser 这分清单中。
2、第二行:-A,将本规则附在 INPUT 链的最尾端。
只要是60秒内,同一个来源连续产生多个联机,到达第9个联机时,对此联机留下 Log记录。记录行会以 HTTP attack 开头。
每一次的本规则比对, –update 均会更新 httpuser 清单中的列表。
3、第三行:-A,将本规则附在 INPUT 链的最尾端。同样的比对条件,但是本次的动作则是将此联机给断掉。
这三行规则表示,允许一个客户端,每一分钟内可以接上服务器8个。
这些规则也可以用在其它对 Internet 开放的联机服务上,例如 port 22 (SSH), port 25 (smtp email)。
旧版的 iptables 中,并没有这些新模块功能,导致我们得需要使用操作系统的 shell 接口,周期性地执行网络检查与拦阻动作。
前者只动用到网络层的资源,而后者已经是应用层的大量(相对而言)运算。
运行报错误:
iptables: Invalid argument. Run `dmesg' for more information.
增加 xt_recent模块 --hitcount parameter(默认值为20)的最大值,选项 ip_pkt_list_tot=50就ok了,默认值可以查看/sys/module/xt_recent/parameters/ip_pkt_list_tot
iptables: No chain/target/match by that name
表明在kernel 在编译时,没有将 iptables module 功能勾选。
需要重新勾选再编译。
另外可能的原因:服务器所提供的共享核心中,并没有打开此功能,因为是核心共享,也就没有权利重新编译核心。