使用 iptables 如何防御 SYN DDoS 和 Ping 攻击

配置防火墙防止syn，ddos攻击

 [root@m176com ~]# vim /etc/sysconfig/iptables
 在iptables中加入下面几行
 #anti syn，ddos
 -A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT
 -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
 -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

说明：第一行：每秒中最多允许5个新连接。第二行：防止各种端口扫描。第三行：Ping洪水攻击（Ping of Death），可以根据需要调整或关闭

重启防火墙

 [root@m176com ~]# /etc/init.d/iptables restart

屏蔽一个IP

 # iptables -I INPUT -s 192.168.0.1 -j DROP

怎么防止别人ping我？？

# iptables -A INPUT -p icmp -j DROP

防止同步包洪水（Sync Flood）

燕雀Logo

为用户提供LOGO免费设计在线生成服务

下载

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

防止各种端口扫描

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping洪水攻击（Ping of Death）

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

NMAP FIN/URG/PSH
 # iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
 
Xmas Tree
 # iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP
 
Another Xmas Tree
 # iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
 
Null Scan(possibly)
 iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP
 
SYN/RST
 # iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
 
SYN/FIN -- Scan(possibly)
# iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

限制对内部封包的发送速度

 #iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT   

限制建立联机的转

 #iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT