|
|
楼主 |
发表于 2013-3-25 19:09:04
|
显示全部楼层
上面的脚本貌似有问题:看这里解决:
0 N, ]* A! z8 J 当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。
* D( v8 Z2 y# w: g1.系统要求
' d' k9 E$ l* ?6 D! Y1 Y
3 E; p* U7 M) p% u(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。& j$ F' `) F4 v8 A: F h2 \" r) D
) ]- E6 v; u. u* F+ @5 u+ Z5 Q1 H(2)iptables版本:1.3.7
6 `, n% c. ?7 Q; [. x" }! ~+ ?4 R" [7 r6 m) c+ G9 o
2. 安装7 K, H5 N% }$ F% {4 W0 @
3 [2 w. B7 U- |; n7 ]安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit/ P: }" o' s9 b" \! _
" ~3 T9 p/ W% t1 E+ ~$ [, B7 u
3. 配置相应的iptables规则) k0 H' M, N5 A! R7 i+ j
! ^5 O9 T8 C! ^* D5 S( I [
示例如下:
- q8 a9 Q: ~) q- l% [ `- J) F8 _9 r5 d# J9 _) [/ C5 Q( x7 K' W
(1)控制单个IP的最大并发连接数) t4 o1 y; y1 V _2 m
" D# T/ X7 S) y0 {iptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30 n& \+ i/ S0 C0 w3 c ~4 R" i. W
(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
9 Z2 r3 `! N1 u+ W9 q. i; A0 d$ N4 \& x8 C2 X
iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接
, V, o( \- w" Y: s) _* x4. 验证1 ?' M7 a/ b, V
8 x0 M7 Q9 E+ U! R* m' a( \: D(1)工具:flood_connect.c(用来模拟攻击)
" K# U1 l; P2 Z) @: H0 j
8 p- K6 T9 N7 R! o' B(2)查看效果:" P- ~9 Q8 V' e6 C- }
, p: Q' B' @. s! i2 m% A3 b+ I" U使用* ]9 B6 f1 R+ u' a; X
* p/ C$ `) v9 ?! O$ I$ lwatch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'" E3 O5 @! V) c0 |! L5 ^4 @) S
实时查看模拟攻击客户机建立起来的连接数,+ x! q, V3 W, l9 A
, u: @8 c4 l+ e6 A
使用
2 _! @5 p+ L, M- L
% {2 @9 e2 ` F" D6 jwatch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>' w: Z; g9 x% g5 o+ K
查看模拟攻击客户机被 DROP 的数据包数。 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-3-25 18:14:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡