论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-04-03 16:47 |只看该作者 |倒序浏览

目前有什么好的方法吗？

iptables –A INPUT –p tcp --dport 80 –m limit --limit 10/second --limit-burst 200 –j ACCEPT

上面的例子是在传达这样一个意思，主机的80端口对外开放，系统资源允许每秒新建立250个会话，主机通过iptables设置了能够提供每秒200个新会话的容量（通常情况下，我们需要为服务器或主机本身考虑一些冗余），在正常情况下，这个数值完全能够满足应用的要求，但如果有某个攻击者对主机的80端口进行拒绝服务攻击，每秒200个新会话的容量也许一会的功夫就被用光了，对于一个没有保护措施的主机来讲，系统马上就会瘫痪，但由于我们设置了一定的保护措施，即便有攻击过来，在iptables这一关就会被丢弃。在这之后，iptables会每秒重新给主机10个新的会话名额，使之能够处理新的连接。在新来的连接请求中，有正常的连接请求，也有一些是攻击，但无论如何，通过这种方式，我们保证了服务器始终不会被攻瘫掉。

请问一下，这里的250个会话是系统默认的还是自己可以设置？如果是自己设置，在哪？是APACHE中的　maxclient 这个吗？？