我的服务器最近一直超时并且崩溃。
我运行了这个命令:
netstat -anp |grep'tcp\|udp'|awk'{print $5}'|cut -d:-f1|sort|uniq -c|sort -n
查看图片以了解结果。这两个 IP 最终会对我发起 DDoS 攻击吗?我该如何使用 IPtables 阻止它们?
谢谢。
答案1
鉴于连接数量惊人,主机可能75.67.41.234正在71.232.145.129使用 SYN 洪水攻击您(或者他们可能只是使用极其无效的机器人之类的东西来抓取您的网站)。流量样本可以证实这一点。
为了防范这种类型的 DDoS(而不是洪水攻击,洪水攻击无法通过本地规则进行防范,需要 ISP 的帮助来处理),您可以使用 iptables 设置防火墙规则,以限制单个主机可以同时向您打开的连接数。这是此类规则的一个示例:
iptables -t filter -A INPUT -i $WAN_IF -p tcp -syn -m connlimit --connlimit-above 10 -j DROP
您可以使用不同的目标(-j REJECT例如)来执行不同的操作,并且可以设置不同于 10 的连接限制。