vine-users ML アーカイブ



[vine-users:060809] Re: 連続アクセスツール対策

  • From: Mitsunori Matsushita <mitu-matusita@xxxxxxxxx>
  • Subject: [vine-users:060809] Re: 連続アクセスツール対策
  • Date: Sun, 08 Jun 2003 18:37:12 +0900
松下というものです。


>>そのようなアクセスがあった場合、HTTPやFTPなどアプリケーション層ではなく
>>TCP/IP層などもっと低いレイヤで、自動的に
>>一定時間アクセスを拒否することはできないでしょうか?


iptables でフィルタリングするのではダメですか?

例えば、同一アドレスからの接続要求は、1秒間に4回まではOKとして、それ以上は
カットするようにするのだったら、

iptables -N flood-chk
iptables -A INPUT     -p tcp --syn -j flood-chk
iptables -A flood-chk -m limit --limit 1/second --limit-burst 4 -j RETURN
iptables -A flood-chk -j DROP

としておけばいいです。ログを採りたければ、最後の行の手前に

iptables -A flood-chk -j LOG --log-prefix "IPTABLES FLOOD-PACKET"

とでもしておけばいいでしょう。