在CentOS 5和6上配置CSF防小規模ddos和cc攻擊

充分配置CSF能很好的阻止不想打開的端口。此外，該防火墻還提供其它一些功能，對確保服務器安全很有用。這里重點介紹在CentOS 5和6配置CSF，專門應對ddos和cc攻擊的方法。

一、打開CSF防火墻

CSF防火墻可以通過編輯主文件/etc/csf/csf.conf設定開啟：

TESTING = 0

二、端口Flood保護

該設置能提供抵御端口Flood攻擊的保護（如DoS拒絕服務攻擊等）。可以設定每個端口在一定周期內被允許的連接數量。建議打開這個功能，因為它能防止攻擊者迫使服務器宕機。應注意設定的限制范圍，限制過度會漏掉正常客戶的訪問。同樣，限制太寬會使Flood攻擊得逞。

PORTFLOOD 是一個用逗號分隔的列表：

PORTFLOOD = “22;tcp;5;300,80;tcp;20;5”

意思是：

如果tcp 22端口在300秒內連接超過5個，在最后一個包后阻止來自22端口的IP地址至少300秒。這意味著阻止停止之前，有300秒的“安靜”期。
如果tcp 80端口在5秒內連接數超過20個，在最后一個包后阻止來自80端口的IP地址至少5秒。意味著阻止停止前有5秒的“安靜期”。

三、CONNLIMIT連接限制保護

該功能可用于限制每個端口來自一個IP地址的并發活躍連接數量。在適當配置的情況下，它能保護服務器防止DoS等攻擊。

CONNLIMIT是用逗號分開的列表：

CONNLIMIT = “22;5,80;20”

意思是：

允許每個IP地址在22端口的并發連接不超過5次。
允許每個IP地址在80端口的并發連接不超過20次。

四、SYNFLOOD, SYNFLOOD_RATE和SYNFLOOD_BURST

SYNFLOOD = “0”
SYNFLOOD_RATE = “100/s”
SYNFLOOD_BURST = “150”