|
|
楼主 |
发表于 2013-3-25 19:09:04
|
显示全部楼层
上面的脚本貌似有问题:看这里解决:
5 x; j$ \6 {. s" k3 ^; f) k 当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。
0 Z' r& f$ f/ w1.系统要求4 B7 j" G+ F: T+ w' \
; ?8 Y9 Q3 x# b- L! ^# c, F(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。$ }, ?5 ^% E* I) w; g; D
% b% _2 M, q0 F
(2)iptables版本:1.3.7
# j) P3 c* V x' c; g4 o* D0 d D0 e( R# O
2. 安装 L& {9 c, q1 B+ ~3 M) G$ C: R7 r+ y
! @/ j( q" v* o2 }2 ~) _. j安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit
# Y" Y& N2 k( B% Z8 o" B/ U! W
- O0 C. [2 `% c9 {1 [3. 配置相应的iptables规则
$ | F6 y6 K% y" J( P" v- p6 W3 }9 n7 `$ i$ c' O
示例如下:
v; u6 O3 b1 \
* ]/ p+ `3 f; [4 r5 u- r(1)控制单个IP的最大并发连接数* ~3 W0 a" d# z: }3 _" v& ^
8 H# w9 T% L. \5 e4 _- N0 L* D+ fiptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30
& K+ o: V3 N7 r0 h+ O1 r. L(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
' {* s' ?2 Q: d7 ~: x0 {4 b* V, h9 v% i/ l! K( g/ z2 }
iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接, u1 H- `. ^, x7 S- k5 x' y
4. 验证* {# t2 ]( f8 Y
0 X$ x5 _" c3 c$ ?- `$ T(1)工具:flood_connect.c(用来模拟攻击)
" _0 ]" R# h; o: S$ l4 X) f6 {" u% e9 w3 T9 t! V+ X
(2)查看效果:1 y" [; Z1 G3 m) T
4 W9 E2 y. h) A: U- R9 c使用& x8 `9 I8 K' w1 m4 n/ L) _% ]8 N
, E) {' q- i! f% r
watch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'. X( x" h) r- ~4 u
实时查看模拟攻击客户机建立起来的连接数,/ i# r$ ?3 C, A
+ y3 t% J* j1 V. a
使用
. T& @& R5 y; O
- M2 P& n+ Q5 l, h- hwatch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'
( Y3 L: Y# P8 u0 W8 s查看模拟攻击客户机被 DROP 的数据包数。 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-3-25 18:14:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡