2010年06月19日 – 小顾de杂记

增加connlimit模块规则限制DOS攻击

2.6.23内核以前的编译方法，详见http://ihipop.info/2010/06/1288.html

推荐规则

[bash]iptables -A INPUT -p tcp -m tcp -m connlimit --dport 80 --tcp-flags SYN,ACK,FI[......]

为CentOS 5的2.6.18内核编译connlimit模块

今天遭遇到了DOS（不是DDOS，因为就是只有一个IP的fin_wait1状态最高的时候达到900多个），服务器本来就不好，时间一长，RAM全部占满，就靠SWAPFile在支撑，Load达到50几，服务无比缓慢,老是跟着那家伙更换封锁IP，我才没那个闲工夫
想加connlimit的规则，不行,ip[......]

继续阅读

一	二	三	四	五	六	日
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30