我们正在使用Suse Linux Enterprise Server 12.我们需要阻止并发IP地址,这些IP地址每秒触发我们的Web服务器超过50次,并阻止该IP地址持续10分钟。它也应该永远区分攻击者和真正的流量并阻止攻击者的IP。我们目前使用iptables阻止,下面是规则。IPTables脚本阻止并发连接
iptables -I INPUT -p tcp --dport 443 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 443 -i eth0 -m state --state NEW -m recent --update --seconds 1 --hitcount 50 -j DROP
它只会阻止IPAddress超过50个连接,但不会将IPAddress黑名单。请让我们知道,如果我们有一个脚本,将符合上面提到的所有情况。请帮忙。
如果请求(SYN)在1秒内超过50,您写入的规则将阻止来自同一IP地址的新连接。如果有,它会阻止IP地址1秒。你可以找到很多关于如何完成任务的例子。请注意,像这样的自动化IP黑名单的任何实施都容易通过欺骗源IP来拒绝服务。如果有人浏览器进入循环,无意中阻塞也会发生。 fail2ban是一个很好的工具,旨在解决您的问题。 –