|
|
楼主 |
发表于 2013-3-25 19:09:04
|
显示全部楼层
上面的脚本貌似有问题:看这里解决:) `9 K) \$ ^! \5 b( N
当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。( B% V$ I: e# P8 W1 t, B
1.系统要求: `9 [4 c% u Y/ o' R- O6 G
# Q6 f1 p4 a4 m! ~! ^
(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。- f+ e @+ k7 |4 E d) r: ~+ u( w
( F! L0 U* r0 X& R
(2)iptables版本:1.3.7+ }* g: F1 Q5 l/ B
9 G9 Q" C# A3 r/ k6 c6 u' H4 o% V2. 安装
0 Z3 S/ z7 h7 h' S% ~( D9 v" F6 M5 S' ?
安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit4 K) ~7 u! S3 f( U0 I3 K/ i
0 {2 v, q8 E* k h
3. 配置相应的iptables规则7 L+ Q+ K( i8 `2 |: t7 Q2 ~
; l% `. Y* g# ~% o5 Z& ^
示例如下:
1 @" s- k$ s) m' k# V! g8 Y$ e! `7 U# v4 a( X
(1)控制单个IP的最大并发连接数! |8 a/ j( s" h
9 q) v6 h3 l, w' riptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30
! e, @& T# }9 S" X; w3 R$ G% x! h1 K, [6 Y(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
( n' R7 e4 s2 H+ W3 }1 G+ {/ g/ S+ l: a) k9 K d, b8 \
iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接: Y2 j+ X$ q/ W _& O$ Y6 W
4. 验证
, Z' m7 i! O: K
- }2 k- Y) A) K. [9 G. u1 L# R(1)工具:flood_connect.c(用来模拟攻击)* K& q. N0 a7 C/ ~. q0 K( I7 l
! O+ ?4 b! G5 x' E4 k2 z! U( F(2)查看效果:
4 |6 t% K) h) B. G7 P# H1 {& p0 I4 ]
使用
7 `7 F; e9 M& h7 M. v, Q" {
8 A. C/ F F) T' R( d/ |, Fwatch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'
. ]1 O2 n+ j: n实时查看模拟攻击客户机建立起来的连接数,
7 N6 M5 t' Y0 x- N; p& t; N- m. F& V* b8 j
使用: r+ v# O, m. a% j& `% k& }6 X
" u6 }; [& {6 [1 kwatch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'
" J( j) G2 |7 P0 u5 Z& p7 B查看模拟攻击客户机被 DROP 的数据包数。 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-3-25 18:14:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡