限制 ICMP 请求速率：ICMP 协议在网络中起着重要的作用，但同时也可能被攻击者利用来发起 DDoS 攻击。为了防范 ICMP 洪水攻击，我们可以限制 ICMP 请求的速率。在 CentOS 系统中，我们可以使用 iptables 防火墙来实现这一功能。例如，我们可以添加以下规则来限制每秒最多接收 10 个 ICMP 请求：iptables -A INPUT -p icmp -m limit --limit 10/s --limit-burst 10 -j ACCEPT。这条规则的含义是，对于 ICMP 协议的数据包，设置速率限制为每秒最多 10 个，突发上限为 10 个，符合条件的数据包允许通过。这样可以有效地防止攻击者通过发送大量的 ICMP 请求来耗尽服务器的资源 。

限制每个 IP 的连接数：为了防止攻击者通过大量的虚假连接来耗尽服务器资源，我们可以限制每个 IP 的最大连接数。例如，以下规则限制每个 IP 同时与服务器建立的 TCP 连接数不能超过 50 个：iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 50 -j REJECT。这条规则的含义是，对于 TCP 协议的 SYN 数据包（即建立连接的请求包），如果来自同一个 IP 的连接数超过 50 个，就拒绝该连接请求 。

防御 SYN 洪水攻击：SYN 洪水攻击是一种常见的 DDoS 攻击方式，我们可以通过设置 iptables 规则来防御这种攻击。例如，以下规则设置了 SYN 连接的速率限制，每秒最多允许 10 个 SYN 连接，并且设置了突发上限为 20 个：iptables -A INPUT -p tcp --syn -m limit --limit 10/s --limit-burst 20 -j ACCEPT。这条规则的含义是，对于 TCP 协议的 SYN 数据包，设置速率限制为每秒最多 10 个，突发上限为 20 个，符合条件的数据包允许通过，超过限制的数据包则被丢弃，从而有效地防御了 SYN 洪水攻击 。