|
|
楼主 |
发表于 2013-3-25 19:09:04
|
显示全部楼层
上面的脚本貌似有问题:看这里解决:5 [/ L+ K" ]9 Q" j0 p( z+ H* x
当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。
0 C2 R8 B9 [. g q% R1.系统要求3 G2 u$ `' I# h7 V5 s8 k, w* x
8 b1 t5 k. I2 x7 a; f9 a9 R(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。
6 J: z) ^, ^* g M5 i7 D* ^
9 l5 r" G: ~- @2 [3 N3 z1 |9 O(2)iptables版本:1.3.7
& p1 {% Y* K0 v& R9 ^& ]5 Y3 G* q2 a/ y# o$ g# X) k% e
2. 安装! N; ]0 _9 e6 t# w4 W p
' w0 P; J1 C5 A: E% J! u/ ~# ]: K3 Q安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit9 S. }" c) D& {$ s9 ]$ v- v
* I5 @4 Q; F0 @0 Q9 s5 o4 l
3. 配置相应的iptables规则
' _$ s0 I* f4 `8 ?8 P% \0 X
/ {1 C6 i4 n6 B% ^8 X示例如下:; T1 J8 h$ V4 W3 ~$ K
; x. B- U8 e S- u, @1 r
(1)控制单个IP的最大并发连接数6 U0 e. t; @" D; y! q; G6 H
9 v. U, N X i- [' b6 C7 siptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30; g1 v J0 ?8 n( }9 O7 x6 K
(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数8 u o/ ?2 Q6 R+ ?6 @8 ~
6 V2 m. d9 T( A& Z1 g, x0 N
iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接% U7 H5 H3 r+ ~7 K+ Z& d W
4. 验证
3 P M5 R6 L; B5 {2 e" ?9 n3 a3 B; V l7 ?* ~& o+ r
(1)工具:flood_connect.c(用来模拟攻击)
* G4 {" t2 J2 b3 b7 `; R6 Z
, w* n, B5 }; A9 h(2)查看效果:* [9 w* R, ?% ?( M1 f1 ], T$ v4 H
/ {1 l) m& _4 v0 U
使用
! G: B! E' J' F/ J3 l8 U* F+ `/ J% o/ z2 }# J7 Q$ S
watch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'
4 a6 j; ?' l' d' R3 Q3 ~+ B实时查看模拟攻击客户机建立起来的连接数,
) M7 q( c! D6 O! \
3 l; }! G: x, ?1 d2 D3 l l使用2 S$ V$ m- S5 h
# j1 w3 T- R. P! x( I
watch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'
' B! L4 B" ?, |8 |* ~查看模拟攻击客户机被 DROP 的数据包数。 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-3-25 18:14:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡