DoSDeflateIptables-创新互联
DoS Deflate 是一个轻量级阻止拒绝服务***的bash shell脚本。我们可以根据自己需要修改特定参数,来达到目的!
安装/卸载都很简单,分别执行下面三步就可以了:
- wget http://www.inetbase.com/scripts/ddos/install.sh
- [root@localhost src]#less install.sh
- >>
从install.sh可以看出DoS Deflate安装过程主要是下载四个文件(
ddos.conf DoS Deflate配置文件
LICENSE 说明文件
ignore.ip.list 白名单文件
ddos.sh 核心安装脚本
)和执行/usr/local/ddos/ddos.sh --cron 这个脚本。
- [root@localhost src]# cat /usr/local/ddos/ddos.sh
- CONF"/usr/local/ddos/ddos.conf"
- UNBAN_SCRIPT
- TMP_FILE
- UNBAN_IP_LIST
- >
- >>
- >>
- >>
- <
- >>
- >>
- <
- --file>>>
- >>
- >>
- >>
- >>
- SHELL>
- >>>>
- START_MINUTE
- START_MINUTE
- END_MINUTE60
- >>>>
- KILL1
- NO_OF_CONNECTIONS
- TMP_PREFIX'/tmp/ddos'
- TMP_FILE"mktemp $TMP_PREFIX.XXXXXXXX"
- BANNED_IP_MAIL
- BANNED_IP_LIST
- >
- >>
- BAD_IP_LIST
- >
- IP_BAN_NOW0
- CURR_LINE_CONN
- CURR_LINE_IP
- IGNORE_BAN
- IP_BAN_NOW1
- >>
- >>
- >>
- <
- dt
整个脚本判断的根据通过单个ip连接数,然后根据/usr/local/ddos/ddos.conf里面定义的NO_OF_CONNECTIONS的值判断有没有达到drop条件,如果达到再根据里面定义(APF_BAN默认是APF,如需要iptables需要改)使用:iptables或者APF来drop掉这个ip地址,让它在规定的时间内(由BAN_PERIOD定义)无法访问该服务器。可以看出整个脚本如果使用iptables过滤的话是很简单的,完全自己可以写一个脚本来实现上面功能。
- #!/bin/bash
- NO_OF_CONNECTIONS100
- BLACKLIST
- WHITELIST
- >>
- >>
- <<-
只是上面的脚本少了解封被禁止的ip过程,我个人认为解封没有太大意义.无论是DoS Deflate或者是上面我自己写的脚本,最重要的都是NO_OF_CONNECTIONS值设置。
iptables
iptables 四表五链
- iptables(nat,filter,mangle,raw)(INPUT,FORWARD,OUTPUT,PREROUTING,POSTROUTING)
- SYN
基本操作举例:
- iptables -F ##清空所有的链中的规则-F 仅仅是清空链中规则,并不影响 -P 设置的默认规则 ,故使用这条命令一定要小心。
自定义链应用:(先定义一个自定义链clean_in,然后把自定义链关联到主链上)
- iptables -N clean_in
iptables高级应用:(使用iptables前需要了解tcp连接/断开过程和ip报文头部结构,tcp数据包头结构。)
##服务器(本地ip192.168.1.103)只允许22,53,80,443端口和本机通迅并拒绝本机向外主动发起请求(防C/S******)
- iptables -I INPUT 1 -m state --state ESTABLISHED -j ACCEPT
##连接数限定(设置ssh连接单个ip不能超过2个,利用recent和state模块限制单IP在300s内只能与本机建立3个新连接。被限制五分钟后即可恢复访问。常用于防ddos***)
- iptables -I INPUT 1 -m state --state ESTABLISHED -j ACCEPT
##匹配数据包数限制(--limit 平均速率,--limit-burst峰值速率)
- iptables -I INPUT 1 -m state --state ESTABLISHED -j ACCEPT
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
当前标题:DoSDeflateIptables-创新互联
URL地址:http://myzitong.com/article/gsegp.html