Linux防DoS攻击：防火墙与限速设置详解

大家好，我们又见面了啊~本文《Linux防范DoS攻击指南：防火墙与限速配置》的内容中将会涉及到等等。如果你正在学习文章相关知识，欢迎关注我，以后会给大家带来更多文章相关文章，希望我们能一起进步！下面就开始本文的正式内容~

Linux系统防范DoS攻击的核心在于有效运用防火墙规则和流量限速机制。1. 防火墙（如iptables/nftables）是第一道防线，能通过限制SYN包速率、控制并发连接数、丢弃无效TCP连接、限制特定端口连接频率等规则抵御攻击；2. Linux的tc工具可进行流量整形和带宽管理，保障核心服务带宽不被耗尽；3. 内核参数优化（如增加SYN队列长度、减少SYN-ACK重试次数）提升系统抗压能力；4. 实时监控工具如netstat、ss、iftop、tcpdump、dmesg等帮助发现攻击迹象；5. 自动化告警系统（如Prometheus+Grafana）实现快速响应；6. 日志分析辅助识别异常流量模式。综合这些手段构建多层次、动态的防御体系，持续调整策略以应对不断变化的攻击方式。

Linux系统防范DoS攻击，核心在于有效运用防火墙规则和流量限速机制。这并非一劳永逸，而是一个持续调整、优化的过程，旨在识别并阻断那些试图耗尽系统资源的恶意流量，从而保障服务的稳定运行。

针对DoS攻击的防范，我通常会从网络层和传输层入手，因为大多数DoS攻击都集中在这两个层面。这包括配置强大的防火墙来过滤恶意连接，以及实施流量控制策略，确保即使在面对大量无效请求时，核心服务也能保持一定的可用性。这并非简单地“堵”住所有流量，而是有策略地“识别”和“限制”异常行为。

Linux防火墙在抵御DoS攻击中扮演什么角色？如何使用Iptables/Nftables构建基本的DoS防御规则？

防火墙，在我看来，就是Linux服务器的第一道也是最关键的防线。它不仅仅是简单地允许或拒绝端口访问，更重要的是能够进行状态跟踪和复杂的规则匹配，从而识别出那些“不怀好意”的连接尝试。当你面对DoS攻击，尤其是SYN Flood这类，防火墙的作用就变得尤为突出。

构建基本的DoS防御规则，我常用iptables，虽然nftables是更现代的选择，但iptables的普及度依然很高，理解其逻辑对理解防火墙策略至关重要。

我们来看几个实际的例子：

1. 限制SYN Flood攻击： SYN Flood是DoS攻击中最常见的一种，攻击者发送大量SYN包，但不完成三次握手，耗尽服务器的连接队列。我们可以限制每个IP地址在一定时间内发送的SYN包数量。

# 限制每个IP每秒最多2个新的SYN连接，超过则丢弃并记录
iptables -A INPUT -p tcp --syn -m limit --limit 2/s --limit-burst 5 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

这里 -m limit 模块非常有用，--limit 2/s 意味着每秒最多匹配2个包，--limit-burst 5 是一个初始的“爆发”阈值，允许在短时间内超过限制，但之后会严格遵循速率。

2. 限制并发连接数： 有些攻击会尝试建立大量并发连接来耗尽系统资源。

# 限制单个IP对22端口（SSH）的并发连接数不能超过3个
iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP

这个规则可以有效防止暴力破解或SSH连接耗尽。

3. 阻止无效TCP连接： 丢弃那些不符合TCP协议状态的包，这能过滤掉一些畸形攻击流量。

iptables -A INPUT -m state --state INVALID -j DROP

4. 针对特定端口的连接速率限制： 比如针对Web服务器的80端口，如果单个IP在短时间内请求过多，可能就是攻击。

# 限制单个IP对80端口每分钟最多发起20个新连接
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 60 --hitcount 20 -j DROP

--set 记录访问IP，--update 检查IP在60秒内访问次数是否超过20次。

这些规则并非孤立存在，它们需要根据实际业务和攻击模式进行组合和调整。有时，过于严格的规则可能会误伤正常用户，所以平衡点非常重要。

除了防火墙规则，Linux还有哪些流量限速策略可以应对带宽耗尽型DoS攻击？

当DoS攻击旨在耗尽服务器的带宽时，仅仅依靠防火墙的包过滤可能就不够了。这时候，Linux的流量控制（Traffic Control，tc命令）就显得尤为重要。tc能够更精细地管理出入站流量，进行带宽分配、优先级设置，甚至对特定类型的流量进行整形（shaping）。

我通常会考虑以下几个方面：

1. 内核参数优化： 在sysctl.conf中调整一些TCP/IP相关的内核参数，可以提高系统在面对高并发连接时的韧性。

# 增加SYN队列长度，应对SYN Flood
net.ipv4.tcp_max_syn_backlog = 8192
# 减少SYN-ACK重试次数，尽快释放半开连接
net.ipv4.tcp_synack_retries = 1
# 允许TIME-WAIT状态的socket快速回收
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
# 增加本地端口范围，防止端口耗尽
net.ipv4.ip_local_port_range = 1024 65000

这些调整能让系统在面对大量连接请求时，有更大的缓冲空间，也更快地清理掉无效连接。

2. 使用tc进行流量整形（Traffic Shaping）：tc工具非常强大，但也相对复杂。它的核心思想是通过队列（qdisc）和分类（class）来管理数据包。

例如，你可以为整个网卡设置一个出站带宽上限，防止服务被攻击时对外发送大量垃圾数据：

# 清除eth0上已有的qdisc
tc qdisc del dev eth0 root
# 在eth0上设置一个根队列，使用HTB（Hierarchical Token Bucket）
tc qdisc add dev eth0 root handle 1: htb default 12
# 定义一个主类，总带宽限制为100Mbps
tc class add dev eth0 parent 1: classid 1:1 htb rate 100mbit ceil 100mbit
# 定义一个子类，用于正常流量，分配50Mbps带宽
tc class add dev eth0 parent 1:1 classid 1:10 htb rate 50mbit ceil 100mbit
# 定义另一个子类，用于低优先级流量或未知流量，分配10Mbps带宽
tc class add dev eth0 parent 1:1 classid 1:12 htb rate 10mbit ceil 100mbit
# 将所有流量默认归类到1:12（低优先级）
# 具体的分类规则（e.g., 基于端口、IP）需要通过tc filter添加

这只是一个非常基础的框架。在实际应用中，你需要根据流量类型（HTTP、SSH、DNS等）定义更细致的分类规则，并为它们分配不同的带宽和优先级。通过这种方式，即使在攻击下，你也可以确保核心服务的带宽得到保障，不至于完全瘫痪。

在Linux环境下，哪些工具和方法能帮助我们及时发现和分析DoS攻击？

发现和分析DoS攻击是防御的第一步，也是最重要的一步。你不可能防住你都不知道的攻击。我通常会结合系统自带的工具和一些网络分析工具来做这件事。

1. 实时网络连接和流量监控：

• netstat -nat | awk '{print $6}' | sort | uniq -c | sort -n: 这个命令能快速统计当前系统各种TCP连接状态的数量。如果看到大量的SYN_RECV或ESTABLISHED连接来自少数几个IP，或者总数异常飙升，那很可能是SYN Flood或连接耗尽攻击。
• ss -s: ss是netstat的现代替代品，速度更快，也能提供连接统计摘要。
• iftop / nload: 这两个工具能实时显示网络接口的流量情况。如果看到带宽突然被某个IP或某个端口的流量占满，那就是明显的攻击迹象。
• tcpdump: 这是我的“瑞士军刀”。当怀疑有攻击时，我会用tcpdump抓取一段时间的流量包，然后用Wireshark离线分析。例如，tcpdump -i eth0 -n -s0 -c 10000 'tcp port 80 and tcp[tcpflags] & (tcp-syn|tcp-ack) != tcp-ack' 可以抓取80端口的SYN包，分析来源IP。

2. 系统资源监控：

• top / htop: 观察CPU和内存使用率。DoS攻击有时会通过耗尽CPU或内存来达到目的，比如大量的进程创建或高负载的网络处理。
• dmesg: 检查内核日志，有时候内核会记录一些异常的网络事件，比如连接追踪表溢出。

3. 日志分析：

• /var/log/syslog 或 /var/log/messages: 检查系统日志，特别是防火墙的日志（如果你配置了LOG规则），看是否有大量的连接尝试被拒绝。
• Web服务器日志（如Nginx/Apache access logs）: 如果是针对Web服务的DoS，访问日志会显示大量的请求来自异常IP，或者请求的URL模式异常（比如请求大量不存在的资源）。

4. 自动化告警： 虽然上面提到的都是手动检查方法，但在生产环境中，我们更依赖自动化告警。例如，使用Prometheus+Grafana来监控上述指标，并设置阈值告警。当某个指标（如SYN_RECV连接数、网络流量）达到预设阈值时，立即触发告警通知。

总的来说，防范DoS攻击是一个多层次、动态的过程。没有一劳永逸的方案，关键在于持续的监控、快速的响应和灵活的策略调整。这就像一场猫鼠游戏，你得不断学习攻击者的手法，并找到更巧妙的防御方式。

今天关于《Linux防DoS攻击：防火墙与限速设置详解》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！