网站建设资讯

NEWS

网站建设资讯

DoSDeflateIptables-创新互联

DoS Deflate 是一个轻量级阻止拒绝服务***的bash shell脚本。我们可以根据自己需要修改特定参数,来达到目的!
安装/卸载都很简单,分别执行下面三步就可以了:

专业领域包括网站建设、成都网站设计成都商城网站开发、微信营销、系统平台开发, 与其他网站设计及系统开发公司不同,创新互联的整合解决方案结合了帮做网络品牌建设经验和互联网整合营销的理念,并将策略和执行紧密结合,为客户提供全网互联网整合方案。
  1. wget http://www.inetbase.com/scripts/ddos/install.sh  
  1. [root@localhost src]#less install.sh  
  2. >>

从install.sh可以看出DoS Deflate安装过程主要是下载四个文件(
ddos.conf   DoS Deflate配置文件
LICENSE   说明文件
ignore.ip.list  白名单文件
ddos.sh         核心安装脚本
)和执行/usr/local/ddos/ddos.sh --cron 这个脚本。

  1. [root@localhost src]# cat /usr/local/ddos/ddos.sh  
  2. CONF"/usr/local/ddos/ddos.conf"
  3. UNBAN_SCRIPT
  4. TMP_FILE
  5. UNBAN_IP_LIST
  6. >
  7. >>
  8. >>
  9. >>
  10. <
  11. >>
  12. >>
  13. <
  14. --file>>>
  15. >>
  16. >>
  17. >>
  18. >>
  19. SHELL>
  20. >>>>
  21. START_MINUTE
  22. START_MINUTE
  23. END_MINUTE60
  24. >>>>
  25. KILL1
  26. NO_OF_CONNECTIONS
  27. TMP_PREFIX'/tmp/ddos'
  28. TMP_FILE"mktemp $TMP_PREFIX.XXXXXXXX"
  29. BANNED_IP_MAIL
  30. BANNED_IP_LIST
  31. >
  32. >>
  33. BAD_IP_LIST
  34. >
  35. IP_BAN_NOW0
  36. CURR_LINE_CONN
  37. CURR_LINE_IP
  38. IGNORE_BAN
  39. IP_BAN_NOW1
  40. >>
  41. >>
  42. >>
  43. <
  44. dt

整个脚本判断的根据通过单个ip连接数,然后根据/usr/local/ddos/ddos.conf里面定义的NO_OF_CONNECTIONS的值判断有没有达到drop条件,如果达到再根据里面定义(APF_BAN默认是APF,如需要iptables需要改)使用:iptables或者APF来drop掉这个ip地址,让它在规定的时间内(由BAN_PERIOD定义)无法访问该服务器。可以看出整个脚本如果使用iptables过滤的话是很简单的,完全自己可以写一个脚本来实现上面功能。

  1. #!/bin/bash  
  2. NO_OF_CONNECTIONS100
  3. BLACKLIST
  4. WHITELIST
  5. >>
  6. >>
  7. <<-

只是上面的脚本少了解封被禁止的ip过程,我个人认为解封没有太大意义.无论是DoS Deflate或者是上面我自己写的脚本,最重要的都是NO_OF_CONNECTIONS值设置。

iptables
iptables 四表五链

  1. iptables(nat,filter,mangle,raw)(INPUT,FORWARD,OUTPUT,PREROUTING,POSTROUTING)  
  2. SYN

基本操作举例:

  1. iptables -F    ##清空所有的链中的规则-F 仅仅是清空链中规则,并不影响 -P 设置的默认规则 ,故使用这条命令一定要小心。  

自定义链应用:(先定义一个自定义链clean_in,然后把自定义链关联到主链上)

  1. iptables -N clean_in  

iptables高级应用:(使用iptables前需要了解tcp连接/断开过程和ip报文头部结构,tcp数据包头结构。)
##服务器(本地ip192.168.1.103)只允许22,53,80,443端口和本机通迅并拒绝本机向外主动发起请求(防C/S******)

  1. iptables -I INPUT 1 -m state --state ESTABLISHED -j ACCEPT  

##连接数限定(设置ssh连接单个ip不能超过2个,利用recent和state模块限制单IP在300s内只能与本机建立3个新连接。被限制五分钟后即可恢复访问。常用于防ddos***)

  1. iptables -I INPUT 1 -m state --state ESTABLISHED -j ACCEPT  

##匹配数据包数限制(--limit 平均速率,--limit-burst峰值速率)

  1. iptables -I INPUT 1 -m state --state ESTABLISHED -j ACCEPT  

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


本文名称:DoSDeflateIptables-创新互联
URL分享:http://cdweb.net/article/gsegp.html