linux笔记_防止ddos攻击

一、什么是DoS攻击

DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。

二、什么是DDoS攻击

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。

三、被DDoS攻击时的现象

1、被攻击主机上有大量等待的TCP连接

2、网络中充斥着大量的无用的数据包,源地址为假

3、制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯

4、利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求

5、严重时会造成系统死机

四、通过sysctl和iptables来防止DDoS攻击

1、修改sysctl参数

# sysctl -a | grep ipv4 | grep syn

net.ipv4.tcp_syn_retries = 5

net.ipv4.tcp_synack_retries = 5

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_max_syn_backlog = 128

参数说明:

net.ipv4.tcp_syncookies:是否打开SYN COOKIES的功能,“1”为打开,“2”关闭。
net.ipv4.tcp_max_syn_backlog:SYN队列的长度,加大队列长度可以容纳更多等待连接的网络连接数。
net.ipv4.tcp_synack_retries和net.ipv4.tcp_syn_retries:定义SYN重试次数。

把如下加入到/etc/sysctl.conf即可,之后执行“sysctl -p”!
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

提高TCP连接能力 
net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768 
net.ipv4.sack=0

2、使用iptables
命令:
# netstat -an | grep ":80" | grep ESTABLISHED 
来查看哪些IP可疑~比如:192.168.1.162这个ip连接较多,并很可疑,并不希望它再次与192.168.1.162有连接。可使用命令: 
iptables -A INPUT -s 192.168.1.162 -p tcp -j DROP 
将来自192.168.1.162的包丢弃。
对于伪造源IP地址的SYN FLOOD攻击。该方法无效
其他参考
防止同步包洪水(Sync Flood)
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT 
也有人写作
# iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT 
--limit 1/s 限制syn并发数每秒1次,可以根据自己的需要修改防止各种端口扫描
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit
1/s -j ACCEPT 
Ping洪水攻击(Ping of Death)
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j
ACCEPT

五、使用DDoS deflate自动屏蔽攻击ip

DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本。它通过netstat监测跟踪创建大量网络连接的IP地址,在检测到某个结点超过预设的限
制时,该程序会通过APF或IPTABLES禁止或阻挡这些IP。
DDoS deflate官方网站:http://deflate.medialayer.com/
如何确认是否受到DDOS攻击? 
执行:
# netstat -ntu | awk ‘{print $5}‘ | cut -d: -f4 | sort | uniq -c | sort -n

执行结果:

1 Address

1 servers)

2

1000 192.168.1.162

在这里本人使用apache的ab命令做的并发测试:

# ab -n 1000 -c 10 http://192.168.1.155/index.html

每个IP几个、十几个或几十个连接数都还算比较正常,如果像上面成百上千肯定就不正常了。
1、安装DDoS deflate
wget http://www.inetbase.com/scripts/ddos/install.sh

chmod 0700 install.sh

./install.sh

2、配置DDoS deflate下面是DDoS deflate的默认配置位于/usr/local/ddos/ddos.conf ,内容如下:
##### Paths of the script and other files
PROGDIR="/usr/local/ddos"
PROG="/usr/local/ddos/ddos.sh"
IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list"  //IP地址白名单 
CRON="/etc/cron.d/ddos.cron"    //定时执行程序 
APF="/etc/apf/apf"
IPT="/sbin/iptables" 
##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with --cron
#####            option
so that the new frequency takes effect
FREQ=1   //检查时间间隔,默认1分钟 
##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150     //最大连接数,超过这个数IP就会被屏蔽,一般默认即可 
##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=1        //使用APF还是iptables。推荐使用iptables,将APF_BAN的值改为0即可。 
##### KILL=0 (Bad IPs are‘nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1   //是否屏蔽IP,默认即可 
##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO="root"   //当IP被屏蔽时给指定邮箱发送邮件,推荐使用,换成自己的邮箱即可 
##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600    //禁用IP时间,默认600秒,可根据情况调整 
3、选项 
/usr/local/ddos/ddos.sh -h    //查看选项 
/usr/local/ddos/ddos.sh -k n  //杀掉连接数大于n的连接。n默认为配置文件的NO_OF_CONNECTIONS 
/usr/local/ddos/ddos.sh -c    //按照配置文件创建一个执行计划

4、定时执行,每分钟执行一次

# vim /etc/cron.d/ddos.cron

SHELL=/bin/sh

0-59/1 * * * * root /usr/local/ddos/ddos.sh
>/dev/null 2>&1
5、卸载 
wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 0700 uninstall.ddos
./uninstall.ddos
六、如果服务器是nginx的话,可做如下操作,来防止DDoS攻击

1、打开nginx访问日志 
log_format    access    ‘$remote_addr -
$remote_user [$time_local] "$request" ‘
‘$status $body_bytes_sent "$http_referer" ‘
‘"$http_user_agent" $http_x_forwarded_for‘;  #设置日志格式 
#access_log  /dev/null;
access_log    /usr/local/nginx/logs/access.log   
access;
2、观察nginx日志 
more /usr/local/nginx/logs/access.log
查看哪些ip重复很严重。
(1)agent的特征 
比如:MSIE 5.01
配置nginx 
location /{
if ( $http_user_agent ~* "MSIE 5.01" ) {

#proxy_pass http://www.google.com;

return 500;

#access_log /home/logs/1.log main;
}
}
将ip加入iptable内 
iptables -A INPUT    -s 202.195.62.113 -j DROP
我发现的 攻击时代理+ddos
搜索ip均为代理地址。日志最后一部分为真实ip(重复很多)。 
如何查看user_agent
在地址栏输入:
javascript:alert(navigator.userAgent)
回车就会弹出当前使用的浏览器的useragent. 
ps:ie和firefox的user—agent 
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"  ( ie6.0)
Mozilla/4.0 (compatible; MSIE 8.0; ; Trident/4.0; .NET CLR 2.0.50727;
CIBA)  (ie8.0)
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.12) Gecko/20101026
Firefox/3.6.12
注意:都含有Windows NT 5.1。
"Mozilla/4.0 (compatible; MSIE 6.0; Windows 5.1)"(这个应该就是攻击者使用user_agent).

参考文章:http://czmmiao.iteye.com/blog/1616837

参考视频资料:Linux云计算集群架构师【学神IT教育】

时间: 2024-07-31 23:47:54

linux笔记_防止ddos攻击的相关文章

DDoS deflate - Linux下防御/减轻DDOS攻击

前言 互联网如同现实社会一样充满钩心斗角,网站被DDOS也成为站长最头疼的事.在没有硬防的情况下,寻找软件代替是最直接的方法,比如用iptables,但是iptables不能在自动屏蔽,只能手动屏蔽.今天要说的就是一款能够自动屏蔽DDOS攻击者IP的软件:DDoS deflate. DDoS deflate介绍 DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本.它通过netstat监测跟踪创建大量网络连接的IP地址,在检测到某个结点超过预设的限 制时,该程序会通过APF或IP

如何检查Linux服务器是否受到DDOS攻击

登录到你的服务器以root用户执行下面的命令,使用它你可以检查你的服务器是在DDOS攻击与否: netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort –n 该命令将显示已登录的是连接到服务器的最大数量的IP的列表. DDOS变得更为复杂,因为攻击者在使用更少的连接,更多数量IP的攻击服务器的情况下,你得到的连接数量较少,即使你的服务器被攻击了.有一点很重要,你应该检查当前你的服

Linux下防御/减轻DDOS攻击 DDoS deflate

DDoS deflate介绍 DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本.它通过netstat监测跟踪创建大量网络连接的IP地址,在检测到某个结点超过预设的限 制时,该程序会通过APF或IPTABLES禁止或阻挡这些IP. DDoS deflate官方网站:http://deflate.medialayer.com/ 如何确认是否受到DDOS攻击? 执行: netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | un

linux笔记_磁盘分区

一.分区的意义 1.不同操作系统往往不可以同时装载在同一个分区,分区解决了不同操作系统装载在同一个物理硬盘的兼容性问题 2.机械硬盘盘片外圈读写速度相对内圈要快,分区可以把常用数据限制在读写速度较快的盘片外圈 3.分区会减少文件系统的文件碎片,提高磁盘子系统工作效率 4.方便文件分类管理,提高磁盘空间的使用效率 5.分区可提高数据的安全性,防止数据丢失 一块硬盘最多只能有四个主分区(主分区+扩展分区最多只能有四个),分区号也是1到4,逻辑分区要等扩展分区建立后才能创建,逻辑分区的分区号从5开始,

Linux下防御DDOS攻击的操作梳理

DDOS的全称是Distributed Denial of Service,即"分布式拒绝服务攻击",是指击者利用大量"肉鸡"对攻击目标发动大量的正常或非正常请求.耗尽目标主机资源或网络资源,从而使被攻击的主机不能为合法用户提供服务. DDOS攻击的本质是:利用木桶原理,寻找利用系统应用的瓶颈:阻塞和耗尽:当前问题:用户的带宽小于攻击的规模,噪声访问带宽成为木桶的短板. 可以参考下面的例子理解下DDOS攻击.1)某饭店可以容纳100人同时就餐,某日有个商家恶意竞争,

Azure上Linux VM DDOS攻击预防: 慢速攻击

在上篇博客(http://www.cnblogs.com/cloudapps/p/4996046.html)中,介绍了如何使用Apache的模块mod_evasive进行反DDOS攻击的设置,在这种模式中,主要预防的是对http的volume attack,然而DDOS的攻击方式,各种工具非常多,随便搜一搜就知道了,我们回过头来看看,什么叫DOS/DDOS,看看维基百科: "拒绝服务攻击(Denial of Service Attack,缩写:DoS)亦称洪水攻击,是一种网络攻击手法,其目的在于

Linux iptables防火墙详解 + 配置抗DDOS攻击策略实战

inux iptables防火墙详解 + 配置抗DDOS攻击策略实战 Linux 内核中很早就实现了网络防火墙功能,在不同的Linux内核版本中,使用了不同的软件实现防火墙功能.在2.0内核中,防火墙操作工具叫:ipfwadm在2.2内核中,防火墙操作工具叫:ipchains在2.4以后的内核,防火墙操作工具叫:iptables ipfwadm 和 ipchains 比较老,已成历史版本,本章主要介绍Iptables 一.iptable 操作命令参数详解 -A  APPEND,追加一条规则(放到

Linux系统采用netstat命令查看DDOS攻击的方法

Linux系统采用netstat命令查看DDOS攻击的方法 来源:互联网 作者:佚名 时间:07-05 15:10:21 [大 中 小] 这篇文章主要为大家介绍了Linux系统采用netstat命令查看DDOS攻击的方法,对于网络安全而言非常重要!需要的朋友可以参考下 Linux系统用netstat命令查看DDOS攻击具体命令用法如下: 复制代码 代码如下: netstat -na 显示所有连接到服务器的活跃的网络连接 复制代码 代码如下: netstat -an | grep :80 | so

如何检查Linux服务器受到DDOS攻击

原文地址:http://www.phpthinking.com/archives/427 登录到你的服务器以root用户执行下面的命令,使用它你可以检查你的服务器是在DDOS攻击与否: netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort –n 该命令将显示已登录的是连接到服务器的最大数量的IP的列表. DDOS变得更为复杂,因为攻击者在使用更少的连接,更多数量IP的攻击服务器