解决（防止）DDOS攻击的另外一种思想

时间 2019-11-29

原文原文链接

本方案适合做最后的处理方案。bash

在服务器遭到DDOS攻击后，防火墙、高防盾或者其余的方案都已经失去了效力，这时运维人员无任何方案能够处理，而且只能任由DDOS攻击或关闭服务器时，该方案能够有限的抵挡大部分DDOS攻击流量，恢复大部分的生产。服务器

该方案并未成熟。运维

这种方案公司用户越少，效果越好。tcp

环境：目前的技术上对DDOS攻击没有太好的解决办法，理论上的肉机数量能够无限多，但服务器给的带宽不可能也不能应对全部的肉鸡的攻击，所以市面上多用高防的盾机来被动的接受来自肉鸡的流量，理论上在高性能的盾机都能被肉鸡击倒，所以这种方案算是一种十分被动的解决方案。不少人选择用封IP的方式来处理DDOS攻击，这在肉鸡数量上的状况下是一种不错的解决方案，但肉鸡数量一多，与不作任何操做并没有二样。性能

原理：目前的服务器防火墙的策略基本上对业务端口的访问不做限制，在遭受DDOS攻击时，咱们能够刻意封闭业务端口的访问，只容许指定IP的访问，至于指定IP，能够在日常用脚本收集，固然日常仍是对业务端口的访问不做限制。spa

由于用户数量占少数，用户中肉鸡的数量也占极少数，所以会有少部分用户被误封的状况，可是远好于全部用户均没法访问。ip

举个栗子：it

我用文件active_ip记录有效用户的IP。table

用文件 filter保存正常时候的IPTABLES规则。awk

在正常业务时，用脚本ip_witev2.sh在后台执行记录访问80端口用户的IP保存在active_ip中。

wite_ip=`awk -F" " '{print $1}' $Active_path`

#!/bin/bash

#sync the IP in access log into Active_path.

Add_white()

{

access_ip=`tail -n 150 $Log_path | awk -F" " '{print $1}' | uniq`

wite_ip=`awk -F" " '{print $1}' $Active_path`

for i in $access_ip

singel=0

for k in `awk '{print}' $Active_path`

[ $i = $k ] && { singel=1; break; }

done

[ $singel -eq 0 ] && echo $i >> $Active_path

done

}

Log_path="/home/wwwlogs/access.log"

Active_path="/scripts/active_ip"

[ -f $Active_path ] || touch $Active_path

#judge whether there are new data in acess.log or not.

while true

[ -f $Log_path ] && size1=`stat $Log_path | awk -F" " '/Size/ {print $2}'` && break

sleep 0.1

done

[ `stat $Active_path | awk -F" " '/Size/ {print $2}'` -le 1 ] && Add_white

sleep 5

在遭受DDOS攻击（有个判断的过程及触发条件）时自动执行切换IPTABLES规则的脚本

ddos_filter.sh 封闭全部的IP

#!/bin/bash

iptables -D INPUT -t filter -p tcp --dport 80 -j ACCEPT

iptables -D OUTPUT -t filter -p tcp --sport 80 -j ACCEPT

activeip_path="/scripts/active_ip"

for i in `awk '{print}' $activeip_path`

iptables -A INPUT -t filter -s $i -p tcp --dport 80 -j ACCEPT

iptables -A OUTPUT -t filter -d $i -p tcp --sport 80 -j ACCEPT

done

在DDOS攻击完毕时（这个触发方式是怎样的？）自动切换为原来的IPTABLES规则。

这就是方案的大体原理。

本人学问不足读书少，文章远远未完善，错误的地方和有改正的地方还请各位大佬批评指正，集思广益，这不正是开源的思想。