根据Alexey的iproute文档和许多非正式的netfilter方法而设计。如果你使用这个脚本，请认真调整其中的数值以适应你的网络。如果你需要保护整个网络，就不要考虑这个脚本了，它最适合于单机使用。似乎你需要很新版本的iproute2工具才能利用2.4.0的内核工作。#!/bin/sh-x##samplescriptonusingtheingresscapabilities#thisscriptshowshowonecanratelimitincomingSYNs#UsefulforTCP-SYNattackprotection.Youcanuse#IPchainstohavemorepowerfuladditionstotheSYN(eg#inadditionthesubnet)##pathtovariousutilities;#changetoreflectyours.#TC=/sbin/tcIP=/sbin/ipIPTABLES=/sbin/iptablesINDEV=eth2##tagallincomingSYNpacketsthrough$INDEVasmarkvalue1############################################################$iptables-APREROUTING-i$INDEV-tmangle-ptcp--syn\-jMARK--set-mark1##############################################################installtheingressqdiscontheingressinterface############################################################$TCqdiscadddev$INDEVhandleffff:ingress###############################################################SYNpacketsare40bytes(320bits)sothreeSYNsequals#960bits(approximately1kbit);soweratelimitbelow#theincomingSYNsto3/sec(notveryusefulreally;but#servestoshowthepoint-JHS############################################################$TCfilteradddev$INDEVparentffff:protocolipprio50handle1fw\policerate1kbitburst40mtu9kdropflowid:1#############################################################echo"----qdiscparametersIngress----------"$TCqdisclsdev$INDEVecho"----ClassparametersIngress----------"$TCclasslsdev$INDEVecho"----filterparametersIngress----------"$TCfilterlsdev$INDEVparentffff:#deletingtheingressqdisc#$TCqdiscdel$INDEVingress
上一篇:用cisco命令确定和跟踪DOS攻击源_网络技术
下一篇:对包进行分类的高级过滤器_网络技术