Linux下防御或減輕DDOS攻擊方法

Tecode 發(fā)布于2022-06-28 18:59 / 2278人閱讀

摘要：解決方法，使用是一款免費的用來防御和減輕攻擊的腳本。推薦使用將的值改為即可。創(chuàng)建文件，添加如下內容執(zhí)行添加執(zhí)行權限。關于更多的的使用方法可以執(zhí)行或網上搜索一下參數(shù)的說明。

查看攻擊IP

首先使用以下代碼，找出攻擊者IP

netstat -ntu | awk {print $5} | cut -d: -f1 | sort | uniq -c | sort -n

將會得出類似如下的結果：

`1 114.226.9.132
1 174.129.237.157
1 58.60.118.142
1 Address
1 servers)
2 118.26.131.78
3 123.125.1.202
3 220.248.43.119
4 117.36.231.253
4 119.162.46.124
6 219.140.232.128
8 220.181.61.31
2311 67.215.242.196`

前面的數(shù)字表示IP連接的次數(shù)，可見最后一個IP 67.215.242.196連接服務器2311次，每個IP幾個、十幾個或幾十個連接數(shù)都還算比較正常，如果像上面成百上千肯定就不正常了。

解決方法，使用DDoS deflate+iptables

DDoS deflate是一款免費的用來防御和減輕DDoS攻擊的腳本。它通過netstat監(jiān)測跟蹤創(chuàng)建大量網絡連接的IP地址，在檢測到某個結點超過預設的限制時，該程序會通過APF或IPTABLES禁止或阻擋這些IP.

安裝DDoS deflate
`wget http://www.inetbase.com/scripts/ddos/install.sh //下載DDoS deflate
chmod 0700 install.sh //添加權限
./install.sh //執(zhí)行`

配置DDoS deflate

下面是DDoS deflate的默認配置位于/usr/local/ddos/ddos.conf ，默認如下：

`##### Paths of the script and other files
PROGDIR="/usr/local/ddos"
PROG="/usr/local/ddos/ddos.sh"
IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list" //IP地址白名單
CRON="/etc/cron.d/ddos.cron" //定時執(zhí)行程序
APF="/etc/apf/apf"
IPT="/sbin/iptables"`

`##### frequency in minutes for running the script

Caution: Every time this setting is changed, run the script with --cron

option so that the new frequency takes effect

FREQ=1 //檢查時間間隔，默認1分鐘`

`##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150 //最大連接數(shù)，超過這個數(shù)IP就會被屏蔽，一般默認即可`

`##### APF_BAN=1 (Make sure your APF version is atleast 0.96)

APF_BAN=0 (Uses iptables for banning ips instead of APF)

APF_BAN=1 //使用APF還是iptables。推薦使用iptables,將APF_BAN的值改為0即可。`

`##### KILL=0 (Bad IPs arent banned, good for interactive execution of script)

KILL=1 (Recommended setting)

KILL=1 //是否屏蔽IP，默認即可`

##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO="root" //當IP被屏蔽時給指定郵箱發(fā)送郵件，推薦使用，換成自己的郵箱即可

`##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600 //禁用IP時間，默認600秒，可根據情況調整`

用戶可根據給默認配置文件加上的注釋提示內容，修改配置文件。

查看/usr/local/ddos/ddos.sh文件的第117行

netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr > $BAD_IP_LIST

修改為以下代碼即可！

netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sed -n ‘/[0-9]/p’ | sort | uniq -c | sort -nr > $BAD_IP_LIST

iptables防火墻

iptables是Linux上常用的防火墻軟件，下面vps偵探給大家說一下iptables的安裝、清除iptables規(guī)則、iptables只開放指定端口、iptables屏蔽指定ip、ip段及解封、刪除已添加的iptables規(guī)則等iptables的基本應用。

安裝iptables防火墻

如果沒有安裝iptables需要先安裝，CentOS執(zhí)行：

yum install iptables

清除已有iptables規(guī)則

`iptables -F
iptables -X
iptables -Z`

開放指定的端口

`#允許本地回環(huán)接口(即運行本機訪問本機)
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

允許已建立的或相關連的通行

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

允許所有本機向外的訪問

iptables -A OUTPUT -j ACCEPT

允許訪問22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

允許訪問80端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

允許FTP服務的21和20端口

iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT

如果有其他端口的話，規(guī)則也類似，稍微修改上述語句就行

禁止其他未允許的規(guī)則訪問

iptables -A INPUT -j REJECT （注意：如果22端口未加入允許規(guī)則，SSH鏈接會直接斷開。）
iptables -A FORWARD -j REJECT`

屏蔽IP

`#如果只是想屏蔽IP的話“3、開放指定的端口”可以直接跳過。

屏蔽單個IP的命令是

iptables -I INPUT -s 123.45.6.7 -j DROP

封整個段即從123.0.0.1到123.255.255.254的命令

iptables -I INPUT -s 123.0.0.0/8 -j DROP

封IP段即從123.45.0.1到123.45.255.254的命令

iptables -I INPUT -s 124.45.0.0/16 -j DROP

封IP段即從123.45.6.1到123.45.6.254的命令是

iptables -I INPUT -s 123.45.6.0/24 -j DROP`

查看已添加的iptables規(guī)則

`iptables -L -n
v：顯示詳細信息，包括每條規(guī)則的匹配包數(shù)量和匹配字節(jié)數(shù)
x：在 v 的基礎上，禁止自動單位換算（K、M）
n：只顯示IP地址和端口號，不將ip解析為域名`

刪除已添加的iptables規(guī)則

將所有iptables以序號標記顯示，執(zhí)行：

iptables -L -n --line-numbers

比如要刪除INPUT里序號為8的規(guī)則，執(zhí)行：

iptables -D INPUT 8

iptables的開機啟動及規(guī)則保存

CentOS上可能會存在安裝好iptables后，iptables并不開機自啟動，可以執(zhí)行一下：

chkconfig --level 345 iptables on

將其加入開機啟動。

CentOS上可以執(zhí)行：service iptables save保存規(guī)則。

另外更需要注意的是Debian/Ubuntu上iptables是不會保存規(guī)則的。

需要按如下步驟進行，讓網卡關閉是保存iptables規(guī)則，啟動時加載iptables規(guī)則：

創(chuàng)建/etc/network/if-post-down.d/iptables 文件，添加如下內容：

`#!/bin/bash
iptables-save > /etc/iptables.rules`

執(zhí)行：chmod +x /etc/network/if-post-down.d/iptables 添加執(zhí)行權限。

創(chuàng)建/etc/network/if-pre-up.d/iptables 文件，添加如下內容：

`#!/bin/bash
iptables-restore < /etc/iptables.rules`

執(zhí)行：chmod +x /etc/network/if-pre-up.d/iptables 添加執(zhí)行權限。

關于更多的iptables的使用方法可以執(zhí)行：iptables --help或網上搜索一下iptables參數(shù)的說明。

云服務器 GPU云服務器 ddos攻擊防御方法防御ddos攻擊的11種方法 linux ddos 攻擊防御 linux防御ddos攻擊

文章版權歸作者所有，未經允許請勿轉載,若此文章存在違規(guī)行為，您可以聯(lián)系管理員刪除。

轉載請注明本文地址：http://systransis.cn/yun/125878.html

主機商如何防止攻擊-針對互聯(lián)網攻擊，高防服務器將如何防御？

摘要：針對互聯(lián)網攻擊，高防服務器將如何防御高防服務器只能防下，且防護能力有限，現(xiàn)在都普遍使用云防了，又有加速效果節(jié)省源服務器帶寬成本，還能防攻擊攻擊以及各種的頁面篡改注入等類型的攻擊。游戲服務器被惡意攻擊怎么辦，如何防御ddos攻擊？DDoS，英文Distributed Denial of Service，即分布式拒絕服務。DDoS攻擊指借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對...

OpenDigg 2021-09-22 15:08 評論0 收藏0
企業(yè)遇上SSL DDOS該采取的有效防御措施有？

摘要：例如洪泛掃描攻擊等，這種是通過出站通信通道攻擊，這種攻擊方式不能通過查看入口流量。現(xiàn)在有很多的用戶選擇ddos防護安全公司的首要條件就是接入方便，價格便宜，還要擁有專業(yè)的技術，24小時服務等等要求。導致出現(xiàn)了越來越多魚龍混雜的安全防護公司，他們的存在意味著激烈的競爭開啟了，使用戶本來是可以找到更好，更快，更專業(yè)的技術團隊的周期延長。他們會不斷的在網上搜索，進行攀比。有些因為價格原因選...

XBaron 2019-08-06 13:44 評論0 收藏0
高防主機是什么-什么是高防服務器？

摘要：什么是高防服務器防御常見的攻擊，攻擊等。高防服務器租用的專業(yè)人員指出攻擊者往往會搞垮與其沒有直接矛盾的網站，其目的僅僅是為了擴大對第三方目標的影響。什么是高防服務器？防御常見的CC攻擊,DDOS，SYN攻擊等。高防服務器主要是指獨立單個硬防防御10G， 50G，100G，200G左右的服務器.高防服務器的高防性能也可以很有效地防御任何攻擊.這就是為什么一般被攻擊比較厲害的企業(yè)或個人會優(yōu)先考慮...

qpal 2021-09-22 16:06 評論0 收藏0
如何提升防御CC攻擊的能力

摘要：服務器垂直擴展和水平擴容資金允許的情況下，這是最簡單的一種方法，本質上講，這個方法并不是針對攻擊的，而是提升服務本身處理并發(fā)的能力，但確實提升了對攻擊的承載能力。今天先是看到一篇討論CC攻擊的文章：Nginx防CC攻擊，緊接著就有同學在群里問我關于防CC攻擊的問題，巧嗎？好巧！什么是CC攻擊？ CC攻擊是DDoS攻擊的一種類型，使用代理服務器向受害服務器發(fā)送大量貌似合法的請求（通常...

BlackFlagBin 2019-06-21 16:33 評論0 收藏0
阿里云盾技術強在哪里？輕松防御DDoS、CC攻擊

摘要：阿里云安全白皮書目錄云安全策略解讀組織安全合規(guī)安全數(shù)據安全訪問控制人員安全物理安全基礎安全系統(tǒng)和軟件開發(fā)和維護災難恢復及業(yè)務連續(xù)性。同類服務對比云盾提供小時實時防御，支持主流的攻擊方法，可抵御大部分是攻擊，抗能力全面超越同類廠商。阿里云安全核心產品：云盾云盾是阿里巴巴集團多年來安全技術研究積累的成果，結合阿里云云計算平臺強大的數(shù)據分析能力，為中小網站提供如安全漏洞檢測、網頁木馬檢測，以及面向...

Batkid 2019-04-24 19:38 評論0 收藏0