|
|
楼主 |
发表于 2013-3-25 19:09:04
|
显示全部楼层
上面的脚本貌似有问题:看这里解决:3 M7 n6 t H6 K2 l8 _" m
当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。
% k8 B" M+ ]7 k, q. E3 N1.系统要求1 Z8 c1 L+ W6 g; D0 |
& ~; T2 p0 Y6 p' w(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。
0 v/ p% u. u0 o# b9 R% o) c8 E& M8 L1 E; v2 Z9 `
(2)iptables版本:1.3.7
5 \+ O! u2 v G3 O9 ]
: T4 u8 z) n# N; b$ w, v4 |2. 安装+ T, A/ l8 s/ Q. i* L# o
# |2 ?% S8 x E5 b1 I9 ?
安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit
& p% R+ q1 ]8 f( g$ s n) u, s, j7 J; A) |+ V. {
3. 配置相应的iptables规则6 }5 N) ]$ [. @/ G, r2 v' V
' L3 ?& J* W- P8 [: M+ M8 j
示例如下:* j: `, N; V, W) A
/ a' }8 k0 ^0 U0 l
(1)控制单个IP的最大并发连接数$ v* o( G+ G0 f+ q9 {* [5 k- {0 x/ S3 ]
; k# P7 U) \- u3 q( {) yiptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 304 s* E4 @# l7 N S
(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
3 O. n8 e, t3 |2 \6 B3 i. }6 ]2 D7 T, m
iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接
; U( ]4 k+ W; c, [4 J2 {4. 验证
: Z% `9 m% r5 N+ ^& `2 T+ q$ C8 q: l0 r4 q+ G; }4 i9 ?
(1)工具:flood_connect.c(用来模拟攻击)# G5 o1 c5 B3 E$ x
+ ], t0 Z& ^" ]; V7 @9 }- V1 @(2)查看效果:
( c- a: f C' O( }' u" E/ D' o" a' w2 g2 |1 E' t) C u! [
使用
! ]2 o+ [, _( D$ t+ P9 Z4 T6 q+ q/ J' R- O6 m7 |% b6 H D: L
watch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'8 {% i4 X; n0 k
实时查看模拟攻击客户机建立起来的连接数,
6 K: Y! p* V% `; b, h8 L: u2 \7 D
使用
) ]5 _0 C/ j m: Z$ n2 r/ M3 W0 f, o# e7 x7 G b
watch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'. `& t. A1 G1 F) z6 Z b8 N7 Y
查看模拟攻击客户机被 DROP 的数据包数。 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-3-25 18:14:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡