|
|
楼主 |
发表于 2013-3-25 19:09:04
|
显示全部楼层
上面的脚本貌似有问题:看这里解决:
4 Q3 j& e7 Z% P 当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。8 \9 P- f; L/ t( D1 C6 l
1.系统要求
8 G5 j+ l0 G0 {! t- t8 c: X8 z3 m) y. u
(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。
7 V7 w3 Z9 h- C0 V( G; ]6 A% m k x/ b+ V& p
(2)iptables版本:1.3.7
! P1 f9 w' i- V0 d+ g1 H0 W
" g2 `9 B V5 p F$ W2. 安装0 h% F: E& t3 V' b3 n0 ^
! s* H& V" [( Y G# _3 N Q6 j h安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit0 G" P0 V. Q& Q/ a" h+ l
+ o9 `7 a G8 [7 V0 [ {) `- B3. 配置相应的iptables规则/ F8 H, k5 Q" F' Q
* `& s$ b" w$ O7 }9 F4 }示例如下:
) n" k3 ~- I9 N. ]" \+ O/ {5 \" z
(1)控制单个IP的最大并发连接数
2 E9 o8 c, X" [' X) C1 f8 m4 ]& n
iptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30
/ u i; h) a8 F! b7 o4 B(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数* Q' P/ i1 j8 U$ W" [9 @
' v; D g" G) d. @- r5 R2 niptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接+ n( a7 G; K* |
4. 验证" [3 a) q5 ?' i7 ^
5 O% r- D: j& q* y* W7 t
(1)工具:flood_connect.c(用来模拟攻击)
. J/ V( n8 w& b) U m2 `" X
( n+ o* `% O( Q(2)查看效果:
9 S; P% h6 l- P; B/ s# `: q7 w1 q& X6 O1 J" Y2 Q
使用9 `5 T g5 ~& R: B! J& |
( {! x& r& f' R: U& L" `! awatch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'' [2 |! S/ V/ d6 K* {/ Z
实时查看模拟攻击客户机建立起来的连接数,% p, K/ u3 X g k. x) P6 m" ?/ e, ]
3 ]0 @( X' K' \, B, F9 m. Y) K
使用
3 U/ h# m) X0 B) j( y+ K% j. H0 J+ m- A6 t$ F4 n+ p
watch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'1 ~5 l! R5 B. C5 `! B4 d' ?
查看模拟攻击客户机被 DROP 的数据包数。 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-3-25 18:14:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡