|
|
楼主 |
发表于 2013-3-25 19:09:04
|
显示全部楼层
上面的脚本貌似有问题:看这里解决:$ K1 @9 d. Q5 G+ k# N4 J$ S+ {
当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。0 {0 \# Q* G& x* Q, I2 D) g( q7 [
1.系统要求
- s! p$ x& z5 i0 v
# l6 w' @$ V: k% c; w1 M! G: {6 k2 P(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。& A# l% g" X% O+ k8 g2 V7 y
' E- C3 j& _2 K
(2)iptables版本:1.3.7( }- D* K; O! `% O4 o8 T3 S
; Z& i7 _7 k0 C. n1 Z* m. l4 A0 G/ u* s2. 安装
7 _5 A6 [1 \, s o. Z0 Y! v$ r
$ A, G$ F8 n: B( q& K5 X9 d& h安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit
5 ~9 a; H5 C. I9 n' k
( O X( J3 A9 Q9 `8 o/ [3. 配置相应的iptables规则
, E: w: s: f. ]' M H% z# ^8 _$ r8 }+ v$ W. C
示例如下:) F2 f! A6 g( _* A' {* r3 ^
4 R8 J5 Z" G/ e1 y; h# l(1)控制单个IP的最大并发连接数
3 O5 U" p) r1 [+ D( |4 E4 y- ~. z" |; e. X2 X8 _
iptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30. S8 I: `# G8 V( B+ {1 ^8 k3 r
(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
1 O( z9 ]( T+ N O8 Q7 X% m7 Z& H: y/ z0 k
iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接$ Q* S) y" ]. m8 P1 W8 v3 D
4. 验证
9 V0 [4 }# X' }' U: Z& Z1 j
; X! H+ j$ {. E/ h8 t( H(1)工具:flood_connect.c(用来模拟攻击)' f' n4 y) o1 M# j' k; N
, F/ H6 x% s4 g" u: }! L' K
(2)查看效果:
2 a/ G8 i7 f8 B
- p) X! G% f5 X5 z- _) P$ b使用
, o) m1 P. V8 H, n" ?7 }
- H9 \$ J( H4 h1 c& @$ b1 e3 g5 rwatch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'7 A+ S5 G0 S+ A) s Z
实时查看模拟攻击客户机建立起来的连接数,4 l& u r" F P
8 e" O! C% o$ p' u7 C
使用4 h/ `) L# \" S5 X4 `( I
. ^* K/ I8 G3 ]5 Ewatch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'5 E$ i" d1 z2 Y# X
查看模拟攻击客户机被 DROP 的数据包数。 |
|