網絡安全並發數限制與連接頻率限制

1.網絡防護，限制單ip的並發數與單位時間內的會話數

iptables規則如下：

iptables -t filter -N NET_DEFEND        # 創建自定義規則鏈
iptables -t filter -I INPUT -p tcp --dport 80 -j NET_DEFEND      # 引用之前創建的自定義規則鏈
ipset create concurrent_limit_list_IPv4 hash:ip timeout 60 # 使用ipset 創建iptables的ip集合
# 並發數限制：
iptables -A NET_DEFEND -m connlimit --connlimit-above 10 --connlimit-mask 32 --connlimit-saddr -m set ! --match-set concurrent_limit_list_IPv4 src -j LOG --log-prefix "iptables: cocurrent limit: "
iptables -A NET_DEFEND -m connlimit --connlimit-above 10 --connlimit-mask 32 --connlimit-saddr -j SET --add-set concurrent_limit_list_IPv4 src
iptables -A NET_DEFEND -m connlimit --connlimit-above 10 --connlimit-mask 32 --connlimit-saddr -j DROP


#連接頻率限制：
iptables -t filter -N NET_DEFEND        # 創建自定義規則鏈
iptables -t filter -I INPUT -p tcp --dport 80 -j NET_DEFEND      # 引用之前創建的自定義規則鏈
ipset create connection_limit_list_IPv4 hash:ip timeout 60
-A NET_DEFEND -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 50 --name DEFAULT --mask 255.255.255.255 --rsource -m set ! --match-set connection_limit_list_IPv4 src -j LOG --log-prefix "iptables: rate limit: "
-A NET_DEFEND -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 50 --name DEFAULT --mask 255.255.255.255 --rsource -j SET --add-set connection_limit_list_IPv4 src
-A NET_DEFEND -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 50 --name DEFAULT --mask 255.255.255.255 --rsource -j DROP
-A NET_DEFEND -m state --state NEW -m recent --set --name DEFAULT --mask 255.255.255.255 --rsource



# 刪除規則
iptables -D NET_DEFEND -m state --state NEW -m recent --set --name DEFAULT --mask 255.255.255.255 --rsource
iptables -D NET_DEFEND -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 50 --name DEFAULT --mask 255.255.255.255 --rsource -j DROP
iptables -D NET_DEFEND -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 50 --name DEFAULT --mask 255.255.255.255 --rsource -j SET --add-set connection_limit_list_IPv4 src
iptables -D NET_DEFEND -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 50 --name DEFAULT --mask 255.255.255.255 --rsource -m set ! --match-set connection_limit_list_IPv4 src -j LOG --log-prefix "iptables: rate limit: "
# 刪除ipset規則
ipset destroy connection_limit_list_IPv4 hash:ip timeout 60
# 刪除規則
iptables -t filter -D INPUT -p tcp --dport 80 -j NET_DEFEND    
# 刪除規則鏈
ipset -X NET_DEFEND

參數解釋：

-p協議 
-m module_name：
-m tcp 的意思是使用 tcp 擴展模塊的功能 (tcp擴展模塊提供了 –dport, –tcp-flags, –sync等功能）

recent模塊：
–name #設定列表名稱，默認DEFAULT。
–rsource #源地址，此為默認。
–rdest #目的地址
–seconds #指定時間內
–hitcount #命中次數
–set #將地址添加進列表，並更新信息，包含地址加入的時間戳。
–rcheck #檢查地址是否在列表，以第一個匹配開始計算時間。
–update #和rcheck類似，以最后一個匹配計算時間。
–remove #在列表里刪除相應地址，后跟列表名稱及地址

connlimit功能：
connlimit模塊允許你限制每個客戶端IP的並發連接數，即每個IP同時連接到一個服務器個數。
connlimit模塊主要可以限制內網用戶的網絡使用，對服務器而言則可以限制每個IP發起的連接數。
–connlimit-above n 　　　＃限制為多少個
–connlimit-mask n 　　　 ＃這組主機的掩碼,默認是connlimit-mask 32 ,即每個IP.

iptables參考網站：

https://www.zsythink.net/archives/1564

https://cloud.tencent.com/developer/article/1139849