Debian iptables, netstate. DDOS?
Мой сервер в последнее время выходит из строя и дает сбой.
Я выполнил эту команду:
netstat -anp | grep 'tcp \ | udp' | awk '{print $ 5}' | вырезать -d: -f1 | сортировать | uniq -c | sort -n
Проверьте картинку на предмет результата. Два IP-адреса в конце меня пугают? И как мне их заблокировать с помощью IPtables?
Спасибо.
Учитывая поразительно большое количество подключений, возможно, что хост 75.67.41.234 и возможно 71.232.145.129 могут атаковать вас с помощью SYN-флуда (или они могут просто очищать ваш сайт с помощью крайне неэффективного бота или чего-то еще). Образец трафика может подтвердить это.
Чтобы защититься от этого типа DDoS (а не от наводнения, от которого вы не можете защититься с помощью локальных правил и для решения которого требуется помощь вашего интернет-провайдера), вы можете настроить правила брандмауэра с помощью iptables, чтобы ограничить количество подключений, которые может иметь один хост. открыт для вас сразу. Это пример такого правила:
iptables -t filter -A INPUT -i $WAN_IF -p tcp -syn -m connlimit --connlimit-above 10 -j DROP
Вы можете использовать другую цель (-j REJECT например) для выполнения различных действий, и вы можете установить ограничение на количество подключений, отличное от 10.