lunxi系统电脑
LINUX下DDOS SYN攻击的防范 防范也主要从两方面入手,一是sysctl的自身的关于syn方面的配置,二是防火墙策略上。 sysctl -w net.ipv4.tcp_syncookies=1 # tcp syncookie,默认关闭 sysctl -w net.ipv4.tcp_max_syn_backlog=1280 # syn队列,默认1024,》 1280可能工作不稳定,需要修改内核源码参数 sysctl -w net.ipv4.tcp_synack_retries=2 # syn-ack握手状态重试次数,默认5,遭受syn-flood攻击时改为1或2 sysctl -w net.ipv4.tcp_syn_retries=2 # 外向syn握手重试次数,默认4 以上四处是网上经常提到的几个地方,当然还有未提到的也可以通过下列命令查看。 [root@web3 nginx]# sysctl -a|grep syn net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60 net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120 net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_synack_retries = 5 net.ipv4.tcp_syn_retries = 5 fs.quota.syncs = 25 如未受到攻击,上面的参数不建议修改。据说有增加主机的不稳定性的风险。 防火墙策略: #缩短SYN- Timeout时间: iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A INPUT -i eth0 -m limit --limit 1/sec --limit-burst 5 -j ACCEPT #每秒最多3个syn封包进入: iptables -N syn-floodiptables -A INPUT -p tcp --syn -j syn-flood iptables -A syn-flood -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURNiptables -A syn-flood -j REJECT
利用自动屏蔽DDOS攻击者IP的软件:DDoS deflate 、安装DDoS deflate wget http://www.inetbase.com/scripts/ddos/install.sh //下载DDoS deflate chmod 0700 install.sh //添加权限 。/install.sh //执行 2、配置DDoS deflate 下面是DDoS deflate的默认配置位于/usr/local/ddos/ddos.conf 内容如下: ##### Paths of the script and other files PROGDIR=“/usr/local/ddos” PROG=“/usr/local/ddos/ddos.sh” IGNORE_IP_LIST=“/usr/local/ddos/ignore.ip.list” //IP地址白名单 CRON=“/etc/cron.d/ddos.cron” //定时执行程序 APF=“/etc/apf/apf” IPT=“/sbin/iptables” ##### frequency in minutes for running the script ##### Caution: Every time this setting is changed, run the script with –cron ##### option so that the new frequency takes effect FREQ=1 //检查时间间隔,默认1分钟 ##### How many connections define a bad IP? Indicate that below. NO_OF_CONNECTIONS=150 //最大连接数,超过这个数IP就会被屏蔽,一般默认即可 ##### APF_BAN=1 (Make sure your APF version is atleast 0.96) ##### APF_BAN=0 (Uses iptables for banning ips instead of APF) APF_BAN=1 //使用APF还是iptables。推荐使用iptables,将APF_BAN的值改为0即可。 ##### KILL=0 (Bad IPs are’nt banned, good for interactive execution of script) ##### KILL=1 (Recommended setting) KILL=1 //是否屏蔽IP,默认即可 ##### An email is sent to the following address when an IP is banned. ##### Blank would suppress sending of mails EMAIL_TO=“root” //当IP被屏蔽时给指定邮箱发送邮件,推荐使用,换成自己的邮箱即可 ##### Number of seconds the banned ip should remain in blacklist. BAN_PERIOD=600 //禁用IP时间,默认600秒,可根据情况调整用户可根据给默认配置文件加上的注释提示内容,修改配置文件。 用户可根据给默认配置文件加上的注释提示内容,修改配置文件。 查看/usr/local/ddos/ddos.sh文件的第117行 netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr 》 $BAD_IP_LIST 修改为以下代码即可! netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sed -n ‘/[0-9]/p’ | sort | uniq -c | sort -nr 》 $BAD_IP_LIST 用户也可以用Web压力测试软件测试一下效果,相信DDoS deflate还是能给你的VPS或服务器抵御一部分DDOS攻击,给你的网站更多的保护。 上面就是Linux检测和防止DDOS攻击的方法介绍了,防范胜于治疗,及早防止DDOS攻击比DDOS攻击后再处理更方便。