|
|
楼主 |
发表于 2013-3-25 19:09:04
|
显示全部楼层
上面的脚本貌似有问题:看这里解决:
6 |0 B3 D2 ^9 o4 A# W/ Q 当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。- X( v% V6 _; |- u. s9 x: [& }3 J
1.系统要求
7 H# \# s' f1 K, `$ m5 Z: b! T( [/ g6 h$ v+ l- e4 O
(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。% |& f0 u: d1 X) Q$ Z
% y) v5 s5 A: q" N$ C
(2)iptables版本:1.3.7* |; D, b8 n' O! R/ s- G
c1 ]: Z o/ u2 |) T
2. 安装
# m/ D0 x. s. o7 }* }, Z+ Q
/ J8 Q6 H J {( p4 P* H" j: L安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit. p# t! }8 O0 C# M7 p- Y
9 S5 B Y( }- w3. 配置相应的iptables规则
; C) W; B1 f4 h8 O A( E
7 I. x8 u" X' V W' {示例如下:
* v! E' H ]6 N0 g
3 p! o* J" K. S' N(1)控制单个IP的最大并发连接数
* J6 D" A9 z3 [
6 {# c) G9 J8 t, I( w. l. `iptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30
8 s) ?0 n( S' J(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数7 e8 y, \2 b. F1 C
7 A& T# S+ q, e& oiptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接$ [/ T% h% k% j+ ~8 F
4. 验证- d3 ]0 W7 `$ m0 G6 ^
5 j1 z. l2 s2 z* Q
(1)工具:flood_connect.c(用来模拟攻击)
. K5 T! G, }2 p, ~# N; x z( z" m; ~$ I; h+ f5 s( L6 i6 V
(2)查看效果:
/ O) R- |4 X% b! k& y/ a7 v' T# @: T; d+ @, B8 i( ^
使用
2 A0 }$ z" U. Q$ v: b1 W4 x, d% p
watch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'4 C" C+ C: s {* C; c) C
实时查看模拟攻击客户机建立起来的连接数,; {0 S3 s r8 C# ^7 f) Q4 K
& h2 {6 j; [5 W+ X9 x+ U3 q. m) J, M
使用) d9 ]3 M- A; @( Y+ r$ f
& E* q+ o9 ], A7 E- y' R8 Iwatch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'
9 G- @, r( V4 f4 }4 P查看模拟攻击客户机被 DROP 的数据包数。 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-3-25 18:14:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡