Chinaunix首页 | 论坛 | 博客
  • 博客访问: 959504
  • 博文数量: 245
  • 博客积分: 11429
  • 博客等级: 上将
  • 技术积分: 2662
  • 用 户 组: 普通用户
  • 注册时间: 2009-08-15 00:16
文章存档

2011年(56)

2010年(174)

2009年(15)

分类: LINUX

2010-10-11 10:21:32

针对少量ip大量连接方式对网站攻击的简单处理方案(Apache mod_limitipconn, Iptalbles,dynfw)

以下只是针对针对少量ip大量连接的初级的攻击方式有一定效果,
截取自针对朋友网站真实情况的一些处理方法。

1、Apache:
模块,的相信配置,请参考:
配置如下:
LoadModule limitipconn_module modules/mod_limitipconn.so

   
        MaxConnPerIP 25
   


对单个ip对服务器页面的连接数量限制为25以内,超过25,会给用户返回503错误;
此限制主要针对的连接状态主要为ESTABLISHED;
此限制不会把用户ip加入黑名单。

2、iptables:
结合使用,的详细使用请参考:
相关脚本实现请参考以下文件:
此配置限制单个ip对服务器80端口的socket连接(包含各种连接状态,如time_wait,FIN_WAIT2,ESTABLISHED等等),减轻服务器的网络压力,及对apache的连接数的占用。
此配置的限制数量为50,超过50个连接的用户将被加入黑名单;

(此处实现,其实可以通过iptables的 iplimit 模块实现,并且在效率和灵活性上都会更好,但使用此扩展需要重新编译内核模块,并且需要重新启动操作系统,对我的生产环境不太适合,因此采用了这个笨方法实现此功能。iplimit 的详细情况请参考http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html

另外,关于黑名单的处理,可以考虑定期对过期的iptables黑名单进行清空处理,可以采用ipdrop off,或者直接清空iptables的相关规则,应为此类ip大多是adsl的动态ip。

3、相关脚本文件:
[root@TServer drop_ip]# ls
do_drop.sh  get_cnt.sh  get_conn_ip.sh  to_drop.sh
[root@TServer drop_ip]# for File in `ls`; do echo "############"; echo $File; echo "############" ; cat $File ; done
############
1)do_drop.sh
############
#!/bin/sh
PATH=/bin:/usr/bin:/sbin:/usr/sbin:/usr/local/bin:/usr/local/sbin
cd /home/cl/ipt/drop_ip
./to_drop.sh 192.168.10.209 80
############
2)get_cnt.sh
############
#!/bin/sh
if [ $# -ne 2 ]; then
echo "Usage $0 IP Port"
exit 101
fi
gip=$1
gport=$2
./get_conn_ip.sh $gip $gport  | sort  | uniq -c | sort -n -r
############
3)get_conn_ip.sh
############
#!/bin/sh
if [ $# -ne 2 ]; then
echo "Usage $0 IP Port"
exit 101
fi
gip=$1
gport=$2
netstat -an | grep "$gip":"$gport" | awk ‘{print $5}’ | sed  ’s/\:\:ffff\://g’ | awk -F ":" ‘{print $1}’
############
4)to_drop.sh
############
#!/bin/sh
if [ $# -ne 2 ]; then
echo "Usage $0 IP Port"
exit 101
fi
gip=$1
gport=$2

DropLog=./drop.log
CntLog=./cnt.log
BIPList=./bip.list
LimitCnt=20

echo "#######################" >> $DropLog
date >> $DropLog
./get_cnt.sh $gip $gport > $CntLog
while read record
do
bcnt=$(echo "$record" | awk ‘{print $1}’)
bip=$(echo "$record" | awk ‘{print $2}’)
if [ $bcnt -ge $LimitCnt ]; then
echo "$record" >>$DropLog
echo $bcnt>>$DropLog
echo $bip>>$DropLog
echo $bip>>bip.list
echo ipdrop $bip on >>$DropLog
/usr/local/sbin/ipdrop $bip on >>$DropLog
else
echo "Finished." >>$DropLog
exit 0
fi
done < $CntLog
[root@TServer drop_ip]#

注解:
A. 其中do_drop.sh是入口文件。
在这个文件中,需要指定限制的ip及端口,如果需要对192.168.10.10.209的80端口的连接做限制,则可以执行 ./to_drop.sh 192.168.10.209 80。

B. 可以通过crontab定期执行该文件,如每5分钟一次,来对ip的连接数量做限制,如:
[root@TServer drop_ip]# crontab -l
*/5 * * * *  /home/cl/ipt/drop_ip/do_drop.sh
或者通过入口shell自己控制,不过还是推荐使用crontd方式。
C. 相关的日志文件及list文件(存放已经被drop的黑名单)会自动产生
阅读(757) | 评论(1) | 转发(0) |
给主人留下些什么吧!~~

chinaunix网友2010-10-11 17:38:14

很好的, 收藏了 推荐一个博客,提供很多免费软件编程电子书下载: http://free-ebooks.appspot.com