linux笔记_防止ddos攻击

1、什么是DoS攻击

DoS是Denial of Service的简称，即拒绝服务，形成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络没法提供正常的服务。最多见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通讯量冲击网络，使得全部可用网络资源都被消耗殆尽，最后致使合法的用户请求就没法经过。连通性攻击指用大量的链接请求冲击计算机，使得全部可用的操做系统资源都被消耗殆尽，最终计算机没法再处理合法用户的请求。

2、什么是DDoS攻击

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来做为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提升拒绝服务攻击的威力。一般，攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通信，代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

3、被DDoS攻击时的现象

一、被攻击主机上有大量等待的TCP链接

二、网络中充斥着大量的无用的数据包，源地址为假

三、制造高流量无用数据，形成网络拥塞，使受害主机没法正常和外界通信

四、利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机没法及时处理全部正常请求

五、严重时会形成系统死机

4、经过sysctl和iptables来防止DDoS攻击

一、修改sysctl参数

# sysctl -a | grep ipv4 | grep syn

net.ipv4.tcp_syn_retries = 5

net.ipv4.tcp_synack_retries = 5

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_max_syn_backlog = 128

参数说明：

 net.ipv4.tcp_syncookies:是否打开SYN COOKIES的功能，“1”为打开，“2”关闭。
net.ipv4.tcp_max_syn_backlog:SYN队列的长度，加大队列长度能够容纳更多等待链接的网络链接数。
net.ipv4.tcp_synack_retries和net.ipv4.tcp_syn_retries:定义SYN重试次数。

把以下加入到/etc/sysctl.conf便可，以后执行“sysctl -p”！
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2 

提升TCP链接能力 
net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768 
net.ipv4.sack=0   

二、使用iptables
命令：
# netstat -an | grep ":80" | grep ESTABLISHED 
来查看哪些IP可疑～好比：192.168.1.162这个ip链接较多，并很可疑，并不但愿它再次与192.168.1.162有链接。可以使用命令： 
iptables -A INPUT -s 192.168.1.162 -p tcp -j DROP 
未来自192.168.1.162的包丢弃。
对于伪造源IP地址的SYN FLOOD攻击。该方法无效
其余参考
防止同步包洪水（Sync Flood）
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT 
也有人写做
# iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT 
--limit 1/s 限制syn并发数每秒1次，能够根据本身的须要修改防止各类端口扫描
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT 
Ping洪水攻击（Ping of Death）
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

5、使用DDoS deflate自动屏蔽攻击ip

DDoS deflate是一款免费的用来防护和减轻DDoS攻击的脚本。它经过netstat监测跟踪建立大量网络链接的IP地址，在检测到某个结点超过预设的限 制时，该程序会经过APF或IPTABLES禁止或阻挡这些IP。
DDoS deflate官方网站：http://deflate.medialayer.com/
如何确认是否受到DDOS攻击？ 
执行：
# netstat -ntu | awk '{print $5}' | cut -d: -f4 | sort | uniq -c | sort -n

执行结果：

      1 Address

      1 servers)

      2

   1000 192.168.1.162

在这里本人使用apache的ab命令作的并发测试：

# ab -n 1000 -c 10 http://192.168.1.155/index.html

每一个IP几个、十几个或几十个链接数都还算比较正常，若是像上面成百上千确定就不正常了。
一、安装DDoS deflate
wget http://www.inetbase.com/scripts/ddos/install.sh

chmod 0700 install.sh

./install.sh

二、配置DDoS deflate下面是DDoS deflate的默认配置位于/usr/local/ddos/ddos.conf ，内容以下：
##### Paths of the script and other files
PROGDIR="/usr/local/ddos"
PROG="/usr/local/ddos/ddos.sh"
IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list"  //IP地址白名单 
CRON="/etc/cron.d/ddos.cron"    //定时执行程序 
APF="/etc/apf/apf"
IPT="/sbin/iptables" 
##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with --cron
#####            option so that the new frequency takes effect
FREQ=1   //检查时间间隔，默认1分钟 
##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150     //最大链接数，超过这个数IP就会被屏蔽，通常默认便可 
##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=1        //使用APF仍是iptables。推荐使用iptables,将APF_BAN的值改成0便可。 
##### KILL=0 (Bad IPs are'nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1   //是否屏蔽IP，默认便可 
##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO="root"   //当IP被屏蔽时给指定邮箱发送邮件，推荐使用，换成本身的邮箱便可 
##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600    //禁用IP时间，默认600秒，可根据状况调整 
三、选项 
/usr/local/ddos/ddos.sh -h    //查看选项 
/usr/local/ddos/ddos.sh -k n  //杀掉链接数大于n的链接。n默认为配置文件的NO_OF_CONNECTIONS 
/usr/local/ddos/ddos.sh -c    //按照配置文件建立一个执行计划

四、定时执行，每分钟执行一次

# vim /etc/cron.d/ddos.cron

SHELL=/bin/sh

0-59/1 * * * * root /usr/local/ddos/ddos.sh >/dev/null 2>&1
五、卸载 
wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 0700 uninstall.ddos
./uninstall.ddos
6、若是服务器是nginx的话，可作以下操做，来防止DDoS攻击

一、打开nginx访问日志 
log_format    access    '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" $http_x_forwarded_for';  #设置日志格式 
#access_log  /dev/null;
access_log    /usr/local/nginx/logs/access.log    access;
二、观察nginx日志 
more /usr/local/nginx/logs/access.log
查看哪些ip重复很严重。
（1）agent的特征 
好比：MSIE 5.01
配置nginx 
location /{
if ( $http_user_agent ~* "MSIE 5.01" ) {

#proxy_pass http://www.google.com;

return 500;

#access_log /home/logs/1.log main;
}
}
将ip加入iptable内 
iptables -A INPUT    -s 202.195.62.113 -j DROP
我发现的 攻击时代理+ddos
搜索ip均为代理地址。日志最后一部分为真实ip（重复不少）。 
如何查看user_agent
在地址栏输入:
javascript:alert(navigator.userAgent)
回车就会弹出当前使用的浏览器的useragent. 
ps:ie和firefox的user—agent 
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"  ( ie6.0)
Mozilla/4.0 (compatible; MSIE 8.0; ; Trident/4.0; .NET CLR 2.0.50727; CIBA)  (ie8.0)
Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12
注意:都含有Windows NT 5.1。
"Mozilla/4.0 (compatible; MSIE 6.0; Windows 5.1)"(这个应该就是攻击者使用user_agent). 

参考文章：http://czmmiao.iteye.com/blog/1616837

参考视频资料：Linux云计算集群架构师【学神IT教育】