|
|
楼主 |
发表于 2013-3-25 19:09:04
|
显示全部楼层
上面的脚本貌似有问题:看这里解决:
7 ?7 |- V' M7 p 当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。
/ k7 o) I% x. [1 L5 _1.系统要求
. I0 n4 [2 J8 @" U8 b( Q4 p7 [/ d3 z2 k5 ^( Y, j( j- n) w0 L
(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。
5 e3 @5 g7 {5 o+ ^" m
: w) c" P6 L/ V) N(2)iptables版本:1.3.7
@8 c: r" }! P2 r0 [: J8 ?
, O$ _, D+ V5 G6 v2. 安装
3 |1 D( }4 B" G$ d+ t3 u! M4 V
4 \$ ]/ e6 x7 u0 {' S" A安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit
. G4 V) p) ?+ R) H7 a" V4 }5 Z; P$ w
# T q2 ]6 I. B3. 配置相应的iptables规则
* w1 ]" r, C C; u7 D$ o1 t, M3 s, l9 @9 K$ Z4 `0 S2 n6 E& P
示例如下:
3 d9 O( y& ~3 W, D) s. _7 u5 c! E6 F2 G
(1)控制单个IP的最大并发连接数
+ w% i2 S; A% V4 F; q- Q1 ^7 D2 C# n( h' n: r2 T$ T% S
iptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30
: N" R8 M6 v, P7 }4 H; D9 i4 F(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数$ A- S6 C3 M* }+ @& A
( G f7 {* i U) Z7 ?
iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接4 N; v [) w0 X' ~- \) B. O5 Q; J; o3 R
4. 验证* I0 J& w) E- |" ^/ l- t) U- `
' y; x: n9 a6 ?+ {* L: p9 u. G6 z. ?) R(1)工具:flood_connect.c(用来模拟攻击)
: Q4 j3 K9 s: }% R
7 ?" t& b" o j* X$ t" H6 Y9 L(2)查看效果:7 H6 R7 ^6 a! f! @& d4 \+ `2 l
. s3 I0 N/ A: f F. S使用
" F! p$ U/ l: a4 H7 j4 z. p6 k3 D& B
watch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'
! N) [9 g0 w" c! G( ?实时查看模拟攻击客户机建立起来的连接数,
9 o! O& @6 r& b
) }7 [$ t! p' W9 U# W& A6 j使用$ m2 \" E% Q, a$ a9 Z
# Y9 P, D& \$ \/ Q7 f: b: D+ `( awatch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'
5 ^* @* C% v% {查看模拟攻击客户机被 DROP 的数据包数。 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-3-25 18:14:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡