linux – 我应该使用iptables对数据包进行速率限制吗?
发布时间:2020-12-13 18:08:03 所属栏目:Linux 来源:网络整理
导读:我在Ubuntu Server上使用iptables.它是VPS上的Web服务器. 我想知道我是否应该对数据包进行速率限制.如果是这样,我应该限速?我应该全球或按IP地址这样做吗? 参考 我看到人们暗示: # Limit packet traffic on a TCP or UDP port:iptables -A INPUT -p $prot
|
我在Ubuntu Server上使用iptables.它是VPS上的Web服务器.
我想知道我是否应该对数据包进行速率限制.如果是这样,我应该限速?我应该全球或按IP地址这样做吗? 参考 # Limit packet traffic on a TCP or UDP port: iptables -A INPUT -p $proto --destination-port $port --syn -m state --state NEW -m limit --limit $lim/s --limit-burst $lb -j ACCEPT # Limit established/related packet traffic: iptables -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit $lim/s --limit-burst $lb -j ACCEPT 以上,全球限速似乎并不是非常有用,至少在我能想象的情况下.有没有我应该在全球范围内限价的情况? # Add the IP to the list: iptables -A INPUT -p $proto --destination-port $port --syn -m state --state NEW -m recent --set --name RATELIMITED # Drop if exceeded limit: iptables -A INPUT -p $proto --destination-port $port --syn -m state --state NEW -m recent --update --seconds $sec --hitcount $hc --rttl --name RATELIMITED -j DROP # Accept if inside limit: iptables -A INPUT -p $proto --destination-port $port --syn -m state --state NEW -j ACCEPT 其他问题:远程IP可能是欺骗性的.如何正确限制它们? 目标 有关 PS:我刚刚为ICMP打开了一个相关问题,它包含了该协议的速率限制:iptables | Types of ICMP: which ones are (potentially) harmful? 解决方法
速率限制不是预防,而是对DoS的邀请 – 特别是在上面介绍的风格中,如果超过了没有状态信息的特定速率的未经身份验证的数据包,将丢弃数据包.由于每个人都可以在此连接状态下伪造数据包(包括源IP地址)而不需要更多努力,因此将出现利用您的速率限制工具的新DoS攻击向量.
速率限制通常只有你有意义才有意义 >您的配置中可预测的硬连接或软连接限制 虽然1.通常很难确定甚至打扰,但2.显然只有在能够在连接设置时可靠地区分“优先级或管理”流量时才会起作用 – 例如如果它来自不同的网络接口. 在其他情况下,它宁愿降低系统的弹性而不是添加它. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |