iptables预防DDOS攻击….docVIP

下载本文档

2
0
约1.76万字
约 19页
2016-05-02 发布于湖北
举报
版权申诉

iptables预防DDOS攻击….doc

1、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

iptables 预防 DDOS 攻击 1、iptables扩展匹配 2、iptables脚本 3、TCP三次握手剖析 4、TCP四次断开剖析 5、DDOS（分布式拒绝服务）原理，及轻量级别攻击的防止 6、PAM的原理 7、PAM的使用 8、pam_mysql与vsftpd的整合 1、iptables扩展匹配 1) iptables(user space)/netfilter(kernel space) iptables只是管理工具 netfilter是具体的功能实现 2)netfilter组成（表(功能模块)／链／规则）3张表，5条链（INPUT/OUTPUT/FORWARD/PREROUTING/POSTROUTING），8个规则 filter（INPUT/OUTPUT/FORWARD）过滤 nat(PREROUTING/POSTROUTING/OUTPUT) 地址转换 mangle(5个链 ) 更封装层数据包结构 --PREROUTING--FORWARD--POSTROUTING-- INPUT | | OUTPUT 本机规则的匹原则： 1、自上而下按顺序匹配 2、如果匹配到某条规则，执行这个规则动作，就不往后匹配其它规则 3、如果列表的所有的规则都匹配不到，则匹配默认规则 iptables [-t talbe] -A | -I | -D | -R | -E chian option(-s -d -i -o -p --dport -m) -j action(ACCEPT/DROP/REJECT/SNAT/DNAT....) 应用层传输层(tcp/udp/sport/doprt/ tcp6个控制位匹配) 网络层(-s/-d/icmp) 数据链路层(mac) 物理层（-i/-o）扩展匹配 1、通用匹配 -i -o -s -d 2、隐含匹配 tcp udp icmp sport dport 3、扩展匹配 -m mac | iprange | state -m +模块以下是常用的模块：模块可以通过：man 8 iptables ,通过关键字 “ -m ” 查找到所有的模块介绍 /lib/modules/2.6.18-194.el5/kernel/net/ipv4/netfilter/：存放模块的位置 -m connlimit：每个IP的并发连接数(TCP) --关注的是新发起的连接（NEW --syn） # iptables -m connlimit --help connlimit match options: [!] --connlimit-above n match if the number of existing connections is (not) above n --connlimit-mask n group hosts using mask # mount -o loop rhel55.iso /mnt # rpm -Uvh /mnt/Server/iptables-1.3.5-5.3.el5_4.1.i386.rpm # iptables -t filter -A INPUT -s 15 -p tcp --dport 22 -m connlimit --connlimit-above 1 -j DROP 一个以上就拒绝！！ # iptables -t filter -L -n -v --line -v可以看状态 --line 数字显示 # iptables -t filter -A INPUT -s 15 -p tcp --dport 22 -m connlimit ! --connlimit-above 1 -j ACCEPT 一个以下就允许访问 -m icmp：ping包请求与发送 [root@ ~]# iptables -A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT [root@ ~]# iptables -A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT [root@ ~]# iptables -A INPUT -p icmp -j DROP [root@ ~]# iptables -A OUTPUT -p icmp -m icmp --icmp-type 0 -j AC