|
|
楼主 |
发表于 2013-3-25 19:09:04
|
显示全部楼层
上面的脚本貌似有问题:看这里解决:
6 Q, i7 w* `8 `$ Y5 t: \1 f 当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。
" e: t- V2 F5 Q; E6 i2 j1.系统要求
% L: q/ E, m; K( X M& y
. M g2 [9 p0 T5 l(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。
* ~% X4 X# m5 X, G& P$ L5 Z5 a
2 j, q: U( {/ V- b) b. |(2)iptables版本:1.3.7# {# W b$ N+ A9 k
6 A( T5 |/ Z4 G* Q/ }/ A* K# o
2. 安装
$ d5 S" F$ j2 Y" W8 H; `0 l
3 R, i8 q+ d# u' O: l, S安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit
+ f% r# W6 m& r5 o( M, \$ c, p
% N4 t: V" W- W( r+ X s; Q: L3. 配置相应的iptables规则
6 ~- Y3 _ i g7 d$ i( z9 X/ S4 u! E+ J2 q- t
示例如下:6 d" l0 q& `/ _# ^: i
+ @* u/ G9 Z5 ` O(1)控制单个IP的最大并发连接数3 l, X5 [8 o0 Q
* b- T# k8 |$ ~+ ]0 ciptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 303 ^* P- f# n: s1 ^5 O& T( T
(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数: q! P4 |/ Y& \: ^$ p
6 ?. W! _4 T% S5 ^% I
iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接
( E+ r- G8 W$ L, p# H7 r4. 验证
% d/ a& a& q: t* W8 c) `" Q9 D+ z
(1)工具:flood_connect.c(用来模拟攻击)& w! S: z% J, @
( }9 F4 a1 M0 v% n(2)查看效果:1 k+ D, S2 q5 {( Q/ i4 C; `
' D8 K& p# J( v% H6 v5 w U$ `使用
3 c9 s0 Z# X0 d f( }1 Z% B- a7 s5 z2 x r% E
watch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'
8 G# ^. [1 o+ o* m# [$ y; T实时查看模拟攻击客户机建立起来的连接数, _+ l* u0 v- S2 l
u9 |# a! ~+ J2 G
使用6 m7 ]" j8 k! G8 H. w' N d
6 T; }! G. w* R% t
watch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'' T; x# N2 Y @1 y
查看模拟攻击客户机被 DROP 的数据包数。 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-3-25 18:14:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡