Linux 反 DDOS的几个设置-zongg-ChinaUnix博客

小蚂蚁

首页　| 　博文目录　| 　关于我

zongg

博客访问： 1647103
博文数量： 135
博客积分： 2820
博客等级：少校
技术积分： 2544
用户组：普通用户
注册时间： 2010-09-16 13:33

文章分类

全部博文（135）

虚拟化（2）

kvm（2）
自动化（4）

SaltStack（1）

Puppet（2）

cobbler（0）

kickstart（1）
脚本语言（21）

PHP（8）

Python（3）

Shell（10）
监控（3）

zabbix（3）
负载均衡（3）

haproxy（1）

lvs+keepalived（2）
Database（17）

MongoDB（0）

MariaDB（1）

Oracle（7）

Mysql（9）
安全（0）

kerberos（0）

openvpn（0）
网络（1）
Linux（71）

CentOS（10）

Ubuntu（5）
Windows（8）
生活（5）

转载（4）
未分配的博文（0）

文章存档

2015年（1）

2014年（8）

2013年（16）

2012年（43）

2011年（56）

2010年（11）

我的朋友

相关博文

Linux 反 DDOS的几个设置

分类： LINUX

2011-04-25 14:55:34

对sysctl参数进行修改

$ sysctl -a | grep ipv4 | grep syn

输出类似下面：

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5

    net.ipv4.tcp_syncookies是是否打开SYN COOKIES的功能，“1”为打开，“2”关闭。
    net.ipv4.tcp_max_syn_backlog是SYN队列的长度，加大队列长度可以容纳更多等待连接的网络连接数。
    net.ipv4.tcp_synack_retries和net.ipv4.tcp_syn_retries是定义SYN重试次数。

把如下加入到/etc/sysctl.conf即可，之后执行“sysctl -p”！

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

提高TCP连接能力

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0

使用iptables

命令：

# netstat -an | grep ":80" | grep ESTABLISHED

来查看哪些IP可疑～比如：221.238.196.83这个ip连接较多，并很可疑，并不希望它再次与221.238.196.81有连接。可使用命令：

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPT

将其deny。

其他参考

防止同步包洪水（Sync Flood）

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

也有人写作

# iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

–limit 1/s 限制syn并发数每秒1次，可以根据自己的需要修改防止各种端口扫描

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping洪水攻击（Ping of Death）

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

============================================================

Apache日志分析 (2008-09-27 20:02) 转载
分类： apache

1,查看apache进程:
ps aux | grep httpd | grep -v grep | wc -l

2,查看80端口的tcp连接:
netstat -tan | grep "ESTABLISHED" | grep ":80" | wc -l

3,通过日志查看当天ip连接数，过滤重复:

cat access_log | grep "24/Jul/2007" | awk '{print $2}' | sort | uniq -c | sort -nr

4,当天ip连接数最高的ip都在干些什么(原来是蜘蛛):
cat access_log | grep "24/Jul/2007:00" | grep "61.135.166.230" | awk '{print $8}' | sort | uniq -c | sort -nr | head -n 10

5,当天访问页面排前10的url:

cat access_log | grep "24/Jul/2007:00" | awk '{print $8}' | sort | uniq -c | sort -nr | head -n 10

6,用tcpdump嗅探80端口的访问看看谁最高
tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr
接着从日志里查看该ip在干嘛:
cat access_log | grep 220.181.38.183| awk '{print $1"\t"$8}' | sort | uniq -c | sort -nr | less

7,查看某一时间段的ip连接数:
grep "2006:0[7-8]" www20060723.log | awk '{print $2}' | sort | uniq -c| sort -nr | wc -l

阅读(1551) | 评论(0) | 转发(1) |

上一篇：SendEmail 命令行下发邮件的小工具

下一篇：Linux下iptrafr的安装

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6