|
|
楼主 |
发表于 2013-3-25 19:09:04
|
显示全部楼层
上面的脚本貌似有问题:看这里解决:
$ w, ]% {0 A }7 q3 T% D 当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。
7 R/ S% ]. m/ x1 D0 e- b* X1.系统要求! N. ~/ p. U7 x) v( i
# F/ R6 \9 r/ r: q% ]7 k(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。& |$ R+ y) L5 L$ L6 F# p5 R' ^+ x
7 k3 O/ }$ r7 C2 u0 E; ^3 S
(2)iptables版本:1.3.7" F* ~" M c+ M3 H
% J# Z1 ^4 ^0 D0 l7 a
2. 安装1 i$ F! j' b% L* E! C
' ~0 \0 L4 @- J. U1 w安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit
6 {- X M4 b) b3 e% `7 R
& t2 M8 F7 r7 t; ^2 i& s# w3. 配置相应的iptables规则( @. N/ J; Y* @1 K
% F6 L( u* m0 n
示例如下:
7 d8 q% ]3 P/ h
{% R O4 e( l$ a, B* U9 Y(1)控制单个IP的最大并发连接数& w* k; `0 K7 C
1 a% ]: H$ D/ P _; Q# O4 ?
iptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30
" u5 ]1 c0 n) R& R- u' @9 \6 p(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
3 N0 Y6 y1 s+ S3 F. @: S7 o; _+ d$ _
iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接8 j# T, u& m- N
4. 验证
+ b* s, e4 [1 D% f( X
. T/ f8 N" ]) i% \" E( e0 o7 m(1)工具:flood_connect.c(用来模拟攻击)1 Q) I9 @! z- ]& Q8 q3 ?
+ W3 u `4 l# p2 h(2)查看效果:- x& x+ p, w% G; [ J U8 X7 d
~" q4 ~) q! @+ I' Q% Q
使用6 H# U3 t* g" i, C2 C3 @! Y/ b
$ ^8 A0 H- f" t2 }, a
watch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'
, l& z3 n. I: I: d6 F" @实时查看模拟攻击客户机建立起来的连接数,
0 e; D: u3 J6 r+ n6 ?& J8 j
, x( O3 a6 H9 C; T$ i使用! o" _/ T# p4 G
0 E- D$ K+ H3 e0 F9 _6 Hwatch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'
3 v9 w8 k$ y) M$ a `6 g查看模拟攻击客户机被 DROP 的数据包数。 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-3-25 18:14:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡