衆所周知CC攻擊是DDOS攻擊的一種變相攻擊模式,攻擊者利用網絡傳輸協議中的三次握手漏洞產生大量的無效鏈接使資源被耗盡,最終導致服務不能正常運行而達到攻擊目的。
所以我們要對症下藥,我們這片文章採取的策越就是封掉產生過多鏈接的ip,達到防禦目的
這裏我們推薦一款防止ddos攻擊的軟件DDoS-Deflate,安裝使用方式如下:
(一)安裝DDoS-Deflate
(1)下載安裝腳本
wget http://www.inetbase.com/scripts/ddos/install.sh(2)安裝 DDoS-Deflate
./install.sh…..下面是安裝過程,很快….
Installing DOS-Deflate 0.6
Downloading source files………done
Creating cron to run script every minute…..(Default setting)
….下面是發佈協議….
….
這樣 DDoS-Deflate,就安裝好了
(二)配置和使用
(1)瞭解 DDoS-Deflate 軟件的文件分佈
DDoS-Deflate 安裝好之後,默認全部在 /usr/local/ddos/ 目錄下
文件說明:
ddos.conf – DDoS-Deflate 的配置文件,其中配置防止ddos時的各種行爲
ddos.sh – DDoS-Deflate 的主程序,使用shell編寫的,整個程序的功能模塊
ignore.ip.list – 白名單,該文件中的ip超過設定的連接數時,也不被 DDoS-Deflate 阻止
LICENSE – DDoS-Deflate 程序的發佈協議
(2)配置 ddos.conf
PROGDIR=”/usr/local/ddos” #目錄
PROG=”/usr/local/ddos/ddos.sh” #腳本路徑
IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list”#白名單
CRON=”/etc/cron.d/ddos.cron” #/計劃任務路徑 默認是每分鐘執行一次ddos.sh
APF=”/etc/apf/apf” //apf防火牆路徑
IPT=”/sbin/iptables” //防火牆地址
FREQ=1 #DDoS-Deflate通過linux的計劃任務執行,默認爲每分鐘一次
NO_OF_CONNECTIONS=150 #定義單個IP達到多少連接時規定爲這是一次ddos攻擊
APF_BAN=0 #這裏爲 “0”,表示使用iptables,而不是APF
KILL=1 #是否阻止被定義爲ddos攻擊的ip,“1”爲阻止,“0”爲不阻止
EMAIL_TO=”[email protected]” #通知郵箱地址
BAN_PERIOD=600 #在黑名單中待多少秒
(3)使用ddos.sh
使用“-h”選項顯示該命令的提供的選項和功能簡介
因爲安裝的時候默認就執行了: ./ddos –cron 了,所以我們什麼也不需要做了
./ddos.sh -hOPTIONS:
-h | –help: Show this help screen
-c | –cron: Create cron
job to run this script regularly (default 1 mins)
-k | –kill: Block the offending ip making more
than N connections
(4)測試防ddos攻擊效果
NO_OF_CONNECTIONS=3 #這裏爲了方便測試,設置爲3。生產環境下,幾十到幾百都可以理解爲正常,上千肯定就是不正常了,除非是應用內部各個服務器之間的通信
通過一臺固定ip的機器ssh連接該服務器,當連接到超過3甚至更多時,不會立刻顯示連不上,因爲ddos.sh默認一分鐘運行一次,當過不到一分鐘時,會發現連接掉了,查看部署了防ddos軟件的服務器上可以看到iptables的策略中多了:
DROP all – 31.210.16.29.broad.cs.gd.dynamic.163data.com.cn anywhere
說明確實生效了,當10分鐘後,iptables上這條策略會被取消的
(5)關於如何查看單個IP的連接數目可以通過如下命令查看,依次排列:
netstat -na|grep ESTABLISHED|awk ‘{print 1}’|sort|uniq -c|sort -r -n
…………..
40 127.0.0.1
1 121.9.252.28
1 173.117.140.69