如何在Linux上设置防御DDoS攻击

来源:Java编程网作者:弥生美月头衔:网络博主
导读:本期聚焦于小伙伴创作的《如何在Linux上设置防御DDoS攻击》,敬请观看详情,探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《如何在Linux上设置防御DDoS攻击》有用,将其分享出去将是对创作者最好的鼓励。

DDoS攻击通过大量恶意请求占用服务器带宽、CPU、内存等资源,导致正常用户无法访问服务。在Linux系统中,我们可以通过系统自带的内核参数调整、防火墙规则配置等方式,搭建基础的DDoS防御能力,减少攻击带来的损失。

如何在Linux上设置防御DDoS攻击

一、优化系统内核参数

Linux内核自带很多网络相关的参数,合理调整这些参数可以提升系统抗DDoS攻击的能力,相关参数可以通过sysctl命令进行配置。

首先编辑sysctl配置文件:

# 编辑sysctl配置文件
vim /etc/sysctl.conf

在文件末尾添加以下配置内容:

# 开启SYN Cookie防护,应对SYN洪水攻击
net.ipv4.tcp_syncookies = 1
# 减少SYN连接重试次数
net.ipv4.tcp_synack_retries = 2
# 减少SYN连接超时时间
net.ipv4.tcp_syn_retries = 2
# 增加TCP连接队列长度
net.ipv4.tcp_max_syn_backlog = 4096
# 开启TCP连接复用
net.ipv4.tcp_tw_reuse = 1
# 快速回收TIME_WAIT状态的连接
net.ipv4.tcp_tw_recycle = 1
# 限制单个IP的TCP连接数
net.ipv4.tcp_max_tw_buckets = 5000
# 禁用ICMP重定向
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
# 开启反向路径过滤,防止IP欺骗
net.ipv4.conf.all.rp_filter = 1

保存文件后执行以下命令让配置生效:

sysctl -p

二、配置iptables防火墙规则

iptables是Linux系统常用的防火墙工具,通过配置规则可以过滤恶意请求,限制单个IP的连接频率和请求速率。

1. 基础防护规则

首先添加基础防护规则,应对常见的SYN洪水、ICMP洪水等攻击:

# 允许本地回环接口的所有流量
iptables -A INPUT -i lo -j ACCEPT
# 允许已建立的连接和相关连接通过
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 开启SYN防护
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT
# 限制单个IP每秒最多发起10个新连接
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 1 --hitcount 10 -j DROP
# 限制ICMP请求速率,防止ICMP洪水
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 3 -j ACCEPT
# 丢弃无效的TCP包
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP

2. 端口防护规则

根据服务器开放的服务端口,针对性配置防护规则,比如只开放必要的端口,关闭无用端口:

# 开放SSH端口(根据实际端口调整,建议修改默认22端口)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# 开放HTTP服务端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# 开放HTTPS服务端口
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# 拒绝其他所有入站请求
iptables -A INPUT -j DROP

配置完成后保存iptables规则,避免重启后丢失:

# CentOS系统保存规则
service iptables save
# Ubuntu系统保存规则
iptables-save > /etc/iptables.rules

三、调整服务配置

除了系统层面和防火墙层面的配置,还需要调整对外提供服务的应用配置,提升单个服务的抗攻击能力。

1. Nginx服务配置

如果使用Nginx作为Web服务器,可以在配置文件中添加限流规则:

http {
    # 定义限流区域,限制单个IP每秒最多10个请求
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
    server {
        listen 80;
        server_name localhost;
        location / {
            # 应用限流规则,突发请求最多20个
            limit_req zone=one burst=20 nodelay;
            root /usr/share/nginx/html;
            index index.html;
        }
    }
}

2. SSH服务配置

修改SSH服务配置,降低暴力破解类攻击的影响:

# 编辑SSH配置文件
vim /etc/ssh/sshd_config

修改以下配置项:

# 禁用root用户直接登录
PermitRootLogin no
# 修改默认端口,避免使用22端口
Port 2222
# 限制最大认证重试次数
MaxAuthTries 3
# 禁用密码登录,使用密钥登录
PasswordAuthentication no

保存后重启SSH服务生效:

systemctl restart sshd

四、注意事项

以上配置属于基础防御手段,只能应对小规模的DDoS攻击,如果遇到大规模攻击,还需要结合上游运营商的流量清洗、专业的DDoS防护设备等方式应对。同时需要定期查看系统日志和防火墙日志,及时调整防护规则,避免误封正常用户的IP地址。

另外,不要随意将内核参数调整得过于严格,否则可能导致正常的高并发业务无法正常运行,需要根据实际业务场景测试后再应用到生产环境。

Linux防御DDoS攻击iptablessysctl网络_安全修改时间:2026-07-05 06:00:30

免责声明:​ 已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰,观点力求客观中立。本站旨在免费分享,内容仅供个人学习、研究或参考使用。若引用了第三方作品,版权归原作者所有。如内容涉及您的权益,请联系我们处理。
内容垂直聚焦
专注技术核心技术栏目,确保每篇文章深度聚焦于实用技能。从代码技巧到架构设计,为用户提供无干扰的纯技术知识沉淀,精准满足专业提升需求。
知识结构清晰
覆盖从开发到部署的全链路。AI、前端、编程、数据库、服务器、建站、系统层层递进,构建清晰学习路径,帮助用户系统化掌握开发与运维所需的核心技术。
深度技术解析
拒绝泛泛而谈,深入技术细节与实践难点。无论是数据库优化还是服务器配置,均结合真实场景与代码示例进行剖析,致力于提供可直接应用于工作的解决方案。
专业领域覆盖
精准对应开发生命周期。从前端界面到后端编程,从数据库操作到服务器运维,形成完整闭环,一站式满足全栈工程师和运维人员的技术需求。
即学即用高效
内容强调实操性,步骤清晰、代码完整。用户可根据教程直接复现和应用于自身项目,显著缩短从学习到实践的距离,快速解决开发中的具体问题。
持续更新保障
专注既定技术方向进行长期、稳定的内容输出。确保各栏目技术文章持续更新迭代,紧跟主流技术发展趋势,为用户提供经久不衰的学习价值。