|
|
楼主 |
发表于 2013-3-25 19:09:04
|
显示全部楼层
上面的脚本貌似有问题:看这里解决:& I- |. l9 [4 q
当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。
j4 l( L, q6 k" G2 O1.系统要求
5 |, T$ Q1 _9 {- v& d8 i' T2 \
3 B+ u. L0 e+ E q(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。
7 X5 l9 g4 z: q3 t6 {* o, _9 O8 F& R, I, t9 {3 a
(2)iptables版本:1.3.7
, L7 q6 w: n6 Z0 r4 S2 u& x
$ z. C" I3 X$ C) U8 o2. 安装
: a; u) j) P4 t/ D! U
8 t: r, F- K7 O9 z/ b安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit& \+ g h' w6 g A/ P
1 g7 K9 Z! t% U6 x- z) o: `1 {3. 配置相应的iptables规则
* | p' o b0 C: I" W# g+ ~# J( _( n9 l: _
示例如下:
8 |( H6 s/ F6 o% q
4 X' v7 K3 ~) Q C1 R(1)控制单个IP的最大并发连接数8 w$ N! f' r, Z/ k
, v+ o9 r3 ] o! Piptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 308 Z0 k: s; C& W3 B7 U" u
(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数; a) z& b+ {+ K' k/ m7 N
" l' t" ]3 P# M" A7 ]
iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接4 Z8 m: B+ u+ e3 ?
4. 验证, Q. H$ ]/ D" {/ m8 }
2 X0 A3 _* n; `# J5 @+ R) i
(1)工具:flood_connect.c(用来模拟攻击). @$ |" L' |' t/ {
3 D6 Q% q& B/ t! ^" E
(2)查看效果:
: a6 ?' P/ ~ @$ ^+ v9 H( Z v0 y }. \" o) S8 ~5 p
使用, F- Y9 g& C* t" ~# v# ?
+ s" R2 D( D7 F2 D0 }) L0 uwatch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'0 B( l# R% m8 Q# s- \- w
实时查看模拟攻击客户机建立起来的连接数,+ y8 l) Q! |4 n0 W8 m6 U8 `2 Q
$ s. D! e/ G8 n2 A
使用
3 a( S5 W7 k, J4 M" M- V
# X# z. H; J8 ]/ I; F) q' F0 kwatch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'! K8 z- k$ E7 d/ K! b' V' s
查看模拟攻击客户机被 DROP 的数据包数。 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-3-25 18:14:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡