|
|
楼主 |
发表于 2013-3-25 19:09:04
|
显示全部楼层
上面的脚本貌似有问题:看这里解决:( e6 e: z# I- N q- G
当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。
0 t1 N( G: `1 z: \% z1.系统要求0 M1 L9 p1 E- P e( q8 @6 S
9 o2 g6 V- T$ M, G+ v6 U3 k
(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。; G' ?0 m% k: i- \7 s
, d, H7 e0 B6 d# y- i0 B4 |$ P
(2)iptables版本:1.3.7! O7 ` D# X: |9 F. Q
7 z# ]* u, \0 @% Z3 J% @7 L% ^$ ~
2. 安装) H2 W( m; H0 q9 |# D1 E1 L: e ]( }; p
8 Y; p w0 H, J; X+ M2 ?4 ^0 H2 T; a4 d安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit
|* B% E/ F8 \ S( k
4 ~. `( p4 ]; ~( ?% ^" ?% s9 c3. 配置相应的iptables规则
: J5 J% o- d1 l2 O, B% t' ^6 A& M" A
示例如下:- I8 w2 @" |, y
% l6 |* e* `, ~* ?7 {
(1)控制单个IP的最大并发连接数
( a |( M/ _0 R; }& A3 y$ K: m: _+ @. b
/ X- q/ K7 Q/ Z9 ?iptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30
9 k, E: a& B6 } M' P, f(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
+ m' s* p; L8 p2 ?$ L: u, T
' F- @/ f f: F+ H+ ]iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接
9 s8 d/ j" W8 i* d/ {" F# \4. 验证
9 R X& x; c; n+ E
4 N" H% d8 o3 n$ J0 w+ {(1)工具:flood_connect.c(用来模拟攻击)* z* n Y) a! n4 r$ @
3 q: F0 [( Q1 `, f) S4 l2 h
(2)查看效果:6 \% e4 B: p. j0 c
! K. v( `$ E+ Q使用
; C" Y, u# l. h- H {# W4 K, r$ H4 |% \+ O
watch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'
) g; P3 A6 P% y2 A实时查看模拟攻击客户机建立起来的连接数,8 }: p1 \# w: G& {4 \+ w' W) Y6 M
9 W& Y, p- U7 D. Y# P使用
- {! k% r( w0 S. I" X0 ]0 \
+ O. [1 \+ |! @& jwatch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'
0 y; D/ s9 y7 ~' c查看模拟攻击客户机被 DROP 的数据包数。 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-3-25 18:14:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡