|
|
楼主 |
发表于 2013-3-25 19:09:04
|
显示全部楼层
上面的脚本貌似有问题:看这里解决:
3 u; ]( u8 f7 O6 v 当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。, P8 w! S s* b" B' h7 ?
1.系统要求5 k. ?3 D6 n5 j: u8 `
! ~, P4 ]! v3 x; ]. Y(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。% V |/ |; D1 M4 f4 R# Q0 f
* g, M9 b- G0 E. M
(2)iptables版本:1.3.7
" [- K% W9 b. Q
( k8 u; \% }" x7 u3 t( N2. 安装 n( f8 o- M6 C, L: z& ^
& l! a" s+ J# z8 T+ v安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit @9 l3 {9 C5 }7 O: B
h# i0 C( s# G" T3. 配置相应的iptables规则" j3 x1 j% ]3 B
- q( Q7 n5 A* D% T/ p. R* x4 F5 {
示例如下:
2 v9 Q8 y( n! q1 C1 t4 W; C2 H0 G( ]2 S; u
(1)控制单个IP的最大并发连接数1 Z( H% J0 G- R% \, {) s* i
2 u; V2 S3 s* k( B* l, G7 Ziptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30% D, q6 L, }# T' Y5 w
(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
6 h; |8 w% `& N
) I1 M$ n- W7 i% uiptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接" c. H9 R& I$ @# U
4. 验证
3 k" l, d" \0 t0 i1 l) I0 r2 Y- Y. Q8 H4 d, n
(1)工具:flood_connect.c(用来模拟攻击)6 S$ F! U6 v3 a' E; a: K! ~; W
) _5 n u o4 ]; B# M) g) l A, w(2)查看效果:
+ h. L3 s8 _, e& T5 ?% M
7 e3 v6 R: J- s! G9 K8 h$ r1 c使用3 u$ a( C) ~* Y: j" q6 M
+ r2 h( J9 f1 e* z# |8 ]7 m% pwatch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'
- a0 `5 H8 x4 M8 m t' M实时查看模拟攻击客户机建立起来的连接数,
8 v4 D, r- E/ a4 i G7 N3 s6 ?+ f0 E) p! |' p$ X2 k3 O
使用
; o. R: g8 z0 C* |- Z1 ?6 m- K2 H1 I m5 N
watch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'
! K3 {# G5 v2 c5 V7 [6 Y P查看模拟攻击客户机被 DROP 的数据包数。 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-3-25 18:14:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡