|
|
楼主 |
发表于 2013-3-25 19:09:04
|
显示全部楼层
上面的脚本貌似有问题:看这里解决:
: h- O6 E8 s# K R6 @; l 当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。
1 |# G; r& d/ l1.系统要求
v% s2 `" N% d; k' B5 p& y
+ L' r# R" U* B: h: q- Z(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。
, V# l) u" j! e3 U3 c. q; q6 R7 K' J6 U% y5 |
(2)iptables版本:1.3.7' X, r" k. @+ a6 E
: T1 m7 [- O: N) l9 w2 p- `# _ t2. 安装
3 u# k! J" J; F6 v/ v! J1 T8 f* F9 o
安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit
4 @3 P+ T E: G$ A& t' R0 v+ Q; j1 D7 L+ Q4 O
3. 配置相应的iptables规则& e+ W) b b! T: M2 r
9 ?5 {) \8 \4 Z& r3 z
示例如下:
! t- _. s/ Q; b7 d- O6 s. U9 N0 p! {/ q' h' q
(1)控制单个IP的最大并发连接数
) V% [" e! b' y, c" J/ W5 F+ s
# {; `' ^" `) K* n+ I0 E/ a' jiptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30# [( N, W! _* `4 J! i3 z
(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数+ R7 b- O0 K% L; W/ L
$ D7 ], P0 v N0 {+ j5 p
iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接% ^$ b1 r- R: Z* P" V$ z2 U
4. 验证2 P* _3 Y( L( l7 B+ G, w7 R n+ p# r
2 b' C0 {/ ^7 N4 i(1)工具:flood_connect.c(用来模拟攻击)& F2 n# Q/ R+ n/ d7 h7 t
8 g1 N0 k! H& J( ?: X
(2)查看效果:1 R/ R. ^+ R) @7 |- o/ ~
3 i2 U1 o+ R, D0 p7 {" B0 R3 _- Y' N使用
; S1 \) o- S/ ]6 L$ s; F' D4 ~. D2 L
watch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'
% r$ Z5 ~# U9 x C0 }9 T1 l8 j实时查看模拟攻击客户机建立起来的连接数,2 U- _3 @# Y' f# H2 {
% j+ F( y0 p" [4 N3 h- j1 b6 d
使用- f6 h! \' p0 F, Q% x1 c: \
3 I, W2 w* h% i+ I# G+ P# N. f, a
watch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'
C3 A# ]5 ?- Y" v( k查看模拟攻击客户机被 DROP 的数据包数。 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-3-25 18:14:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡