之前在公司服务器上部署了sftp,用于上传业务系统的附件。后来由于程序连接问题,使的sftp连接数过多(最多时高达400多个sftp连接数),因为急需要对sftp的连接数做严格限制。操作记录如下:

启动sftp本机的iptables防火墙功能,限制每个ip连接22端口(sftp连接端口即是ssh端口)最大为50个,当超过50后的连接数的流量就会被DROP掉!

同时iptables需要开放50000-65535范围的端口的访问(linux系统最大的端口为65535)

[root@localhost ~]# cat /etc/sysconfig/iptables

# Firewall configuration written by system-config-firewall

# Manual customization of this file is not recommended.

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

#-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP

-A INPUT -m state --state NEW -m tcp -p tcp --dport 50000:65535 -j ACCEPT

#-A INPUT -j REJECT --reject-with icmp-host-prohibited                                //注意这两行需要注释掉!否则设置的策略无效!

#-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

=================================解释说明===========================================

上面限制端口连接数主要用到的模块是connlimit。

-A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 50 --connlimit-mask 0 -j DROP

说明输入的目标端口是22,也就是访问sftp本机22端口的流量,如果连接数大于50,则DROP掉流量!

connlimit-above这个是连接数的统计,

如果大于50就满足条件,connlimit-mask这个是定义那组主机,此处跟的一个数值是网络位,即子网掩码,也就是connlimit-mask 0 这个ip组的连接数

大于connlimit-above 50 则DROP掉!

总体描述为流量过滤端口和连接数以及网络位,如果满足第一条,则拒绝,流量不再匹配下边的规则,如果不匹配,则第二条规则会允许流量。

--connlimit-mask 0 即子网掩码为0,表示所有的ip,也就是说不管来源是什么ip,只要连接此服务器的22端口总数超过50个,则DROP掉流量!

如果将--connlimit-mask 0去掉,则子网掩码默认是32,这是针对单个ip或某一个具体ip连接此服务器的22端口超过50个,则DROP掉!

如果有51台机器,每台机器连接一个,则不会被DROP掉!因为这种情况是针对单个ip连接数限制 (单个ip的连接超过50才被drop)

也就是说connlimit-above 50这个的数量所限制的区域是由--connlimit-mask 0而定!

=============iptables利用connlimit模块限制同一IP连接数==============

connlimit功能:

   connlimit模块允许限制每个客户端IP的并发连接数,即每个IP同时连接到一个服务器个数。

   connlimit模块主要可以限制内网用户的网络使用,对服务器而言则可以限制每个IP发起的连接数。

connlimit参数:

  --connlimit-above n    #限制为多少个

  --connlimit-mask n     #这组主机的掩码,默认是connlimit-mask 32 ,即每个IP.

示例说明:

1) 限制同一IP同时最多100个http连接

# iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT

或者

# iptables -I INPUT -p tcp --syn --dport 80 -m connlimit ! --connlimit-above 100 -j ACCEPT

2) 只允许每组C类IP同时100个http连接

# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 --connlimit-mask 24 -j REJECT

3) 只允许每个IP同时5个80端口转发,超过的丢弃

# iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP

4) 限制某IP最多同时100个http连接

# iptables -A INPUT -s 172.16.60.51 -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT

5) 限制每IP在一定的时间(比如60秒)内允许新建立最多100个http连接数

# iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 100 -j REJECT

# iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT

=============使用sftp或ftp协议上传文件,上传文件大小为0=============
客户端上传报错:error while writing: received failure with description 'Failure'
服务器端/var/log/message报错:sftp-server[15747]: error: process_write: write failed

造成这个错误大致就两个原因:
1) ulimit限制.
在sftp连接使用的账号下增大ulimit的值
# ulimit -n 65535
2) 磁盘空间不够了

======================iptables限制同一IP连接数,预防CC/DDOS攻击======================

1)限制与80端口连接的IP最大连接数为50,可自定义修改。(这里指的是每个ip与80端口的连接数最大为50,超过50则丢弃. 如果加上--connlimit-mask 0 , 则表示所有ip与80端口的连接最大为50!)

[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP

2)使用recent模块限制同IP时间内新请求连接数。

下面策略表示:60秒有10个新连接,超过记录日志。

[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10

-j LOG --log-prefix 'DDOS:' --log-ip-options 

下面策略表示:60秒10个新连接,超过丢弃数据包

[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP 

可以在iptables配置文件中

[root@localhost ~]# vim /etc/sysconfig/iptables    //删除原来的内容输入如下内容 保存

# Generated by iptables-save v1.3.5 on Sun Dec 12 23:55:59 2010

*filter

:INPUT DROP [385263:27864079]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [4367656:3514692346]

-A INPUT -i lo -j ACCEPT

-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -s 127.0.0.1 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set --name WEB --rsource

-A INPUT -p tcp -m tcp --dport 80 -m state –-state NEW -m recent --update --seconds 5 --hitcount 20 --rttl --name WEB --rsource -j DROP

-A INPUT -p tcp -m multiport –-ports 21,22,80 -j ACCEPT

-A INPUT -p tcp -m tcp –-tcp-flags SYN,RST,ACK SYN -m ttl -–ttl-eq 117 -j DROP

-A INPUT -p tcp -m tcp –-tcp-flags SYN,RST,ACK SYN -m length --length 0:40 -j DROP

-A INPUT -p tcp -m tcp ! -–tcp-flags SYN,RST,ACK SYN -m state –-state NEW -j DROP

COMMIT

# Completed on Sun Dec 12 23:55:59 2017

以上配置,说明此设定仅对外开放21(FTP),22(SSH),80(http网站)三个TCP端口。设置80端口5秒内20个连接。

[root@localhost ~]# /etc/init.d/iptables restart

iptables限制连接数(如sftp) 以及 谨防CC/DDOS攻击的配置 ( connlimit模块)的更多相关文章

  1. iptables限制同一IP连接数,防防CC/DDOS攻击

    启动sftp本机的iptables防火墙功能,限制每个ip连接22端口(sftp连接端口即是ssh端口)最大为50个,当超过50后的连接数的流量就会被DROP掉! 同时iptables需要开放5000 ...

  2. linux中Iptables限制同一IP连接数防CC/DDOS攻击方法

    1.限制与80端口连接的IP最大连接数为10,可自定义修改.  代码如下 复制代码 iptables -I INPUT -p tcp --dport 80 -m connlimit --connlim ...

  3. iptables防DDOS攻击和CC攻击设置

    防范DDOS攻击脚本 #防止SYN攻击 轻量级预防 iptables -N syn-flood iptables -A INPUT -p tcp --syn -j syn-flood iptables ...

  4. iptables防DDOS攻击和CC攻击配置

    防范DDOS攻击脚本 #防止SYN攻击 轻量级预防 iptables -N syn-flood iptables -A INPUT -p tcp –syn -j syn-flood iptables ...

  5. iptables利用connlimit模块限制同一IP连接数

    connlimit功能: connlimit模块允许你限制每个客户端IP的并发连接数,即每个IP同时连接到一个服务器个数. connlimit模块主要可以限制内网用户的网络使用,对服务器而言则可以限制 ...

  6. Nginx下防御HTTP GET FLOOD(CC)攻击

    Nginx下防御HTTP GET FLOOD(CC)攻击 Nginx是一款轻量级的Web服务器,由俄罗斯的程序设计师Igor Sysoev所开发,最初供俄国大型的入口网站及搜寻引Rambler使用. ...

  7. 网站遭遇CC及DDOS攻击紧急处理方案

    检测访问是否是CC攻击的命令: 80口为网站的访问端口,可以根据实际情况进行修改 # netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: ' ...

  8. cc攻击和ddos攻击

    DoS攻击.CC攻击的攻击方式和防御方法 DDoS介绍 DDoS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(Denial of ...

  9. cc攻击和ddos攻击的区别和攻防 + 调SYN连接参数

    1.一个是WEB网络层拒绝服务攻击(DDoS),一个是WEB应用层拒绝服务攻击(CC),网络层就是利用肉鸡的流量去攻击目标网站的服务器,针对比较本源的东西去攻击,服务器瘫痪了,那么运行在服务器上的网站 ...

随机推荐

  1. sql server自定义函数学习笔记

    sql server中函数分别有:表值函数.标量函数.聚合函数.系统函数.这些函数中除系统函数外其他函数都需要用户进行自定义. 一.表值函数 简单表值函数 创建 create function fu_ ...

  2. tcpdump抓包具体分析

    Tcpdump抓包分析过程   一.TCP连接建立(三次握手) 过程 客户端A,服务器B,初始序号seq,确认号ack 初始状态:B处于监听状态,A处于打开状态 A -> B : seq = x ...

  3. 反射型XSS+文件上传+CSRF—DVWA

    在学习的过程中,想到将几种漏洞进行组合练习,记录下学习过程.大佬请绕过!谢谢!! 测试环境:DVWA,安装方法参考上一篇:https://www.cnblogs.com/aq-ry/p/9220584 ...

  4. 路由交换04-----STP

    路由交换-----STP STP协议(生成树协议)逻辑上断开环路,防止二层网络的广播风暴的产生. 为什么需要STP协议? 假设有这样一个拓扑: 现在PC1ping网关192.168.1.3,而这个网关 ...

  5. Pair Programming 2

    学生-社团匹配程序 项目流程: 1. 分析讨论 2. 分工合作 3. 代码规范 4. 编码实现 5. 模块结合 6. 测试修改 7. 数据样例 8. 心得体会 9. GitHub链接 结对队友:陈文举 ...

  6. 深入理解Java的堆内存和线程内存

    我们都知道Java对象都是在堆中创建的(开启逃逸分析的情况除外),比如一个线程中有一段这样的代码: public class A{ public int xxx; } 通过A a = new A(); ...

  7. 计算机基础-CPU

    CPU(Central Processing Unit中央处理器)由运算器和控制器组成--微机性能的集成度最高的核心部件 1.金属触点 2.附带散热器 风冷式 热管散热式 水冷式等 扣具结构要和CPU ...

  8. sql语句如何将多个空格字符替换成一个空格字符

    很多时候,数据表中某个字段的值会带有一个或多个空格字符串的情况,面对多样化的需求,我们可能需要将这些空格字符串去除,当然,这很好说,我们可以直接用replace(' ','')将单个空格变成无就可以了 ...

  9. jQuery.form 的最新版本是 3.14

    http://www.oschina.net/news/32628/jquery-form-3-14 有日子没跟进 jQuery.form 插件了,该插件已经从 2.xx 更新到 3.xx 了,目前最 ...

  10. VsCode语言设置为中文

    一.安装插件 二.Ctrl+shift+p 搜索Configure Display Language 三.修改locale.json { // Defines VS Code's display la ...