sockets - Iptables 防止泛洪-6ren

sockets - Iptables 防止泛洪

转载作者：可可西里更新时间：2023-11-01 02:52:01

27

4

我知道您可以限制每个 ip、每个时间间隔等的连接数，但我想要的是数据量。

我正在托管一个套接字服务器，我认为与其让它执行检查泛洪的处理，不如将其卸载到防火墙。我知道你可以防止 syn flooding 攻击，就像这里提到的:

http://www.cyberciti.biz/tips/howto-limit-linux-syn-attacks.html

例如:

# Limit the number of incoming tcp connections
# Interface 0 incoming syn-flood protection
iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn_flood -j DROP
#Limiting the incoming icmp ping request:
iptables -A INPUT -p icmp -m limit --limit  1/s --limit-burst 1 -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j LOG --log-prefix PING-DROP:
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -j ACCEPT

我不确定 iptables 能做什么，所以这个问题有点含糊。但由于网络套接字使用 tcp，我应该能够限制每秒的字节数。并标记超过该限制的连接或直接丢弃它们，无论如何。

我似乎找不到这方面的好引用，因为它们都是关于跟踪连接等，而不是数据传输。有谁知道一个很好的引用或如何做到这一点？ iptables 不是一个好的防火墙吗？如果不是，那是什么？

最佳答案

内核端防火墙是最快和最安全的软件解决方案(很难杀死内核不是吗？)。使用它还具有使用某些网络 Controller 上的硬件防火墙的优势。Iptables 是控制它的主要工具，但是有 many others frontends语法更简单。

如果你想配置更简单，你应该使用这个: .
请记住，跟踪每个 IP 的字节数会占用大量内存。
在你的情况下，我会安装 ipset ，由同一个 iptables 团队开发:

#create ipset for accounting with default lifetime 300 secs
ipset create IP_QUOTA_SET hash:ip timeout 300 counters

#create separated rule chain
iptables --new-chain PER_IP_QOUTING

#send packets to chain
iptables -t filter -A INPUT \
  -i <in-iface> --dst <ip>  \
  -p tcp --dport <dstport>  \
  -j PER_IP_QUOTING

#if ip doesn't exist in the set, add it
iptables -t filter -A PER_IP_QUOTING    \
  -m set ! --match-set IP_QUOTA_SET src \
  -j SET --add-set IP_QUOTA_SET src --timeout 300

#if packet exists in the set, check bytes
#if byte counter > quota then drop packet
iptables -t filter -A PER_IP_QUOTING    \
  -m set --match-set IP_QUOTA_SET src   \
  --bytes-gr 1000 -j DROP

#pass other packets (for debug purpose)
iptables -t filter -A PER_IP_QUOTING \
  -j RETURN

在这种情况下，您可以检查列表并通过 ipset 命令对其进行编辑。
要显示带有计数器和超时的当前列表:ipset list IP_QUOTA_SET。

强烈注意: iptables 是特定于 Linux 的，从 linux 2.4 开始可用。用户空间工具的内核实现在之前的 2.0 和 2.2 中确实发生了变化。
3.13 版本引入了一个 new change它将取代 ipset；阿普表;电子表格； ip6tables 和 iptables 同一个工具。
与以前的版本一样，它们将是一个过渡期，在此期间，像 vuurmuur 这样的前端将与内核保持兼容，但不要指望将来会使用 iptables。

关于sockets - Iptables 防止泛洪，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/23377706/

27

4

0

文章推荐： c - 在有操作系统和无操作系统的嵌入式设备上编程的区别

文章推荐： 2 毫秒精度的 Java DateFormat

文章推荐： c++ - 如何通过不同版本的tcp传输不同的对象

node.js - socket.io - socket.emit, socket.on, socket.send
基于 socket.io 的官方网站 http://socket.io/#how-to-use , 我找不到任何术语。socket.emit 、 socket.on 和 socket.send 之间有
sockets - lua-socket : unix domain sockets?
我正在使用 lua-socket 3.0rc1.3(Ubuntu Trusty 附带)和 lua 5.1。我正在尝试监听 unix 域套接字，我能找到的唯一示例代码是 this -- send std
sockets - socket.emit() 与 socket.send()
这两者有什么区别？我注意到如果我在一个工作程序中从 socket.emit 更改为 socket.send ，服务器无法接收到消息，虽然我不明白为什么。我还注意到，在我的程序中，如果我从 sock
sockets - socket 可靠吗？
使用套接字在两台服务器之间发送数据是个好主意，还是应该使用 MQ 之类的东西来移动数据。我的问题:套接字是否可靠，如果我只需要一次/有保证的数据传输？还有其他解决方案吗？谢谢。最佳答案套接字
sockets - 被动和主动 socket
引自 this socket tutorial : Sockets come in two primary flavors. An active socket is connected to a
sockets - 如何绕过 socket ？
我已经安装了在端口81上运行的流服务器“Lighttpd”(light-tpd)。我有一个C程序，它使用套接字api创建的服务器套接字在端口80上监听http请求。我希望从客户端收到端口80上的请
sockets - socket 未正确关闭的原因？
这是我正在尝试做的事情: 当有新消息可用时，服务器会将消息发送给已连接的客户端。另一方面，客户端在连接时尝试使用send()向服务器发送消息，然后使用recv()接收消息，此后，客户端调用close(
sockets - socket.io动态发送和接收消息
如何将消息发送到动态 session 室，以及当服务器收到该消息时，如何将该消息发送到其他成员所在的同一个 session 室？ table_id是房间，它将动态设置。客户: var table_i
sockets - 如何使用NodeJS将监听一个端口的WebSocket连接到监听另一个端口的Net socket？
这是我尝试但不起作用的方法。我可以将传入的消息从WebSocket连接转发到NetSocket，但是只有NetSocket收到的第一个消息才到达WebSocket后面的客户端。 const WebSo
sockets - 如何使用升压冲洗 socket
我正在实现使用boost将xml发送到客户端的服务器。我面临的问题是缓冲区不会立即发送并累积到一个点，然后发送整个内容。这在我的客户端造成了一个问题，当它解析xml时，它可能具有不完整的xml标记(不
sockets - Nginx权限被拒绝连接到.socket
尝试使用Nginx代理Gunicorn套接字。 /etc/systemd/system/gunicorn.service文件 [Unit] Description=gunicorn daemon Af
sockets - 多个连接Lua socket
我正在使用Lua套接字和TCP制作像聊天客户端和服务器这样的IRC。我要弄清楚的主要事情是如何使客户端和服务器监听消息并同时发送它们。由于在服务器上执行socket:accept()时，它将暂停程序，
sockets - 具有自定义负载平衡功能的ZMQ socket
我看了一下ZMQ PUSH/PULL套接字，尽管我非常喜欢简单性(特别是与我现在正在通过UDP套接字在系统中实现的自定义碎片/ack相比)，但我还是希望有自定义负载平衡功能，而不是幼稚的回合-robi
javascript - Socket.io socket.emit/socket.on 不工作
我正在编写一个应用程序，其中有多个 socket.io 自定义事件，并且所有工作正常，除了这个: socket.on("incomingImg", function(data) {
sockets - socket recv() 是否强制刷新 socket send() 缓冲区？
在我的应用程序中，我向服务器发送了两条小消息(类似 memcached 的服务)。在类似 Python 的伪代码中，这看起来像: sock.send("add some-key 0") ignored
javascript - socket.io 重新连接 socket.socket.connect 不起作用
很抱歉再次发布此问题，但大多数相关帖子都没有回答我的问题。我在使用 socket.io 的多个连接时遇到问题我没有使用“socket.socket.connect”方法，但我从第一次连接中得到了反馈。
sockets - 带有非 socket.io 服务器的 Socket.io 客户端
我尝试使用 socket.io 客户端连接到非 socket.io websocket 服务器。但我做不到。我正在尝试像这样连接到套接字服务器: var socket = io.connect('ws
javascript - 已定义 Socket.io，但未定义 socket.io.sockets
我遇到了一个奇怪的问题。在我非常基本的服务器中，我有: server.listen(8001); io.listen(server); var sockets = io.sockets; 不幸的是，套
socket.io - 在sails js socket.io中使用io.socket.get
我正在使用带套接字 io 的sailsjs。帆的版本是 0.10.5。我有以下套接字客户端进行测试: var socketIOClient = require('socket.io-client');
sockets - TCP sockets 和 web sockets 的区别，再来一次
这个问题在这里已经有了答案: What is the fundamental difference between WebSockets and pure TCP? (4 个答案) 关闭 4 年前。

首页

博学

6Ren·AI

商城

sockets - Iptables 防止泛洪