基于iptables的DDoS防护规则：构建高效防御体系指南

一、引言：DDoS攻击的威胁与iptables的防御价值

DDoS（分布式拒绝服务）攻击通过海量虚假请求耗尽服务器资源，导致正常服务中断。其攻击手段包括TCP洪水、UDP洪水、ICMP洪水及慢速HTTP攻击等，对业务连续性构成严重威胁。iptables作为Linux内核的防火墙工具，通过灵活的规则配置可实现高效的流量过滤与攻击防御，成为服务器防护DDoS的核心手段之一。

二、iptables防护DDoS的核心规则设计

1. 连接数限制：阻断异常连接爆发

规则示例：

iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 50 -j DROP

原理：通过connlimit模块限制单个IP的并发连接数。正常用户单IP并发连接通常低于50，超过阈值则判定为攻击源并丢弃数据包。
扩展配置：

• 针对不同服务端口设置差异化阈值（如SSH端口设为10，HTTP端口设为100）。
• 结合recent模块记录攻击IP，实现动态黑名单。

2. 速率控制：限制单位时间请求量

规则示例：

iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit-mode srcip --hashlimit-above 100/sec -j DROP

原理：使用hashlimit模块按源IP统计请求速率，超过100次/秒则触发丢弃。此规则可有效防御HTTP洪水攻击。
优化建议：

• 根据业务类型调整阈值（如API服务可设为50次/秒）。
• 结合limit模块实现令牌桶算法，平滑流量突发。

3. SYN洪水防御：阻断半连接攻击

规则示例：

iptables -A INPUT -p tcp --syn -m conntrack --ctstate NEW -m recent --name SYN_FLOOD --set
iptables -A INPUT -p tcp --syn -m conntrack --ctstate NEW -m recent --name SYN_FLOOD --update --seconds 60 --hitcount 100 -j DROP

原理：通过recent模块记录新SYN请求，60秒内同一IP超过100次则判定为SYN洪水并丢弃后续请求。
补充措施：

• 启用TCP SYN Cookie功能（net.ipv4.tcp_syncookies=1），无需存储半连接即可响应SYN+ACK。
• 缩短SYN超时时间（net.ipv4.tcp_synack_retries=2）。

4. IP黑名单与白名单：精准过滤恶意流量

规则示例：

iptables -A INPUT -s 192.0.2.100 -j DROP
iptables -A INPUT -s 203.0.113.0/24 -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 10.0.0.0/8 -j ACCEPT

原理：手动添加已知攻击IP或网段至黑名单，同时允许内网或可信IP访问。
自动化方案：

• 编写脚本定期从日志分析工具（如Fail2ban）提取攻击IP并更新规则。
• 使用ipset管理黑名单，提升大规模IP过滤效率。

三、高级防护策略

1. UDP洪水防御：限制非授权端口流量

规则示例：

iptables -A INPUT -p udp --dport 53 -m limit --limit 50/sec -j ACCEPT
iptables -A INPUT -p udp -j DROP

原理：仅允许DNS端口（53）的有限速率流量，其他UDP流量直接丢弃。
注意事项：

• 需确保业务所需UDP端口已明确开放。
• 结合string模块匹配特定UDP负载（如DNS查询内容）。

2. ICMP洪水防御：限制Ping请求

规则示例：

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 10/sec -j ACCEPT
iptables -A INPUT -p icmp -j DROP

原理：每秒仅允许10个ICMP Echo请求，超量则丢弃。
适用场景：防止Ping洪水导致的网络拥塞。

3. 慢速HTTP攻击防御：检测异常请求模式

规则示例：

iptables -A INPUT -p tcp --dport 80 -m string --string "GET / HTTP/1.1" --algo bm -m recent --name SLOW_HTTP --set
iptables -A INPUT -p tcp --dport 80 -m string --string "GET / HTTP/1.1" --algo bm -m recent --name SLOW_HTTP --update --seconds 10 --hitcount 5 -j DROP

原理：通过string模块匹配HTTP请求头，10秒内同一IP发送5次完整请求则判定为慢速攻击。
补充手段：

• 部署ModSecurity等WAF模块检测异常HTTP行为。
• 限制HTTP请求头大小（net.core.rmem_max）。

四、规则优化与维护

1. 规则顺序优化

原则：

• 将高频匹配规则（如-p tcp --dport 80）置于链首。
• 拒绝规则（-j DROP）优先于接受规则（-j ACCEPT）。
• 使用iptables -L -v --line-numbers检查规则顺序。

2. 日志与监控

配置示例：

iptables -A INPUT -j LOG --log-prefix "DDoS_ATTACK: "

工具推荐：

• 使用logwatch或ELK分析防火墙日志。
• 结合iftop或ntopng实时监控流量分布。

3. 定期更新规则

建议：

• 每周审查攻击日志，调整阈值参数。
• 关注CVE漏洞，及时修复iptables相关内核模块。

五、总结：iptables防护的局限性

iptables虽能有效防御基础DDoS攻击，但面对百G级流量攻击时需结合云服务商的DDoS高防服务或专用硬件（如抗DDoS清洗设备）。建议企业构建多层防御体系：

1. 边缘网络层：CDN分流正常流量。
2. 传输层：iptables过滤异常请求。
3. 应用层：WAF防护SQL注入等应用攻击。

通过科学配置iptables规则，可显著提升服务器抵御DDoS攻击的能力，为业务稳定运行提供坚实保障。