|
|
楼主 |
发表于 2013-3-25 19:09:04
|
显示全部楼层
上面的脚本貌似有问题:看这里解决:$ {, |, J4 C, o6 x2 k f8 [6 _
当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。8 m% F g' z$ D& O6 d8 R
1.系统要求
* y$ u4 R5 X3 [* f2 J/ K- y$ K3 D9 E4 e: V: [$ B& T# |/ L/ e
(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。5 a( V8 m. j' F- N9 Q
% g6 f8 j9 b0 g @' R1 N- _. j2 e(2)iptables版本:1.3.7- w2 `" w' _( `$ p. t
+ d9 Z* N1 { L5 c4 H# I
2. 安装
: Y8 |' a1 O0 L2 w7 O& p, R7 U( O: G$ H
安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit
& [5 b- I% u# e. x5 }, Y, z5 b, V$ n* u" V+ l) z% B7 k
3. 配置相应的iptables规则0 z8 j4 r! N* F, m5 _
4 V' L* H' y9 p* z示例如下:6 Y( C' A' T% i* Q/ a0 b2 E
: l4 Q( e2 N8 ^(1)控制单个IP的最大并发连接数, Y4 s$ D7 |* V. \4 H: i
4 i. g% D$ B6 z1 O* Liptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30% s: ]/ j% y: [1 a) `; {' p
(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数 a% k3 b) G3 {# {' {' ~
" k% ~9 T9 M; O' biptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接. |7 f4 ?0 o- S6 \- \) s
4. 验证& G$ b. t( H2 |2 ]7 C& ~
9 W) U6 }- E, S1 E: w; Q( ?
(1)工具:flood_connect.c(用来模拟攻击)4 F+ p( _7 ^# T/ r
6 J, \( U( ^/ f/ E0 ~; Y: R- j. n(2)查看效果:
! [6 {6 C$ i, g5 N1 E' C+ s- Y! t" g" _- I* e1 c, ]0 q6 E- @! L
使用
+ m1 k6 j0 n/ C1 o0 R+ {7 D1 d" {9 M6 @
watch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'
! j9 r- c. @, b. ?2 |+ H实时查看模拟攻击客户机建立起来的连接数,
! ]6 A1 l; W8 P" G: ]& G& ~6 J, o
% Q: W8 o4 M, l0 c7 g使用- N) E- z0 W( b
4 f4 x$ H8 @* } U7 |watch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'
: f/ |7 f1 l& R: e查看模拟攻击客户机被 DROP 的数据包数。 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-3-25 18:14:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡