refer:http://blog.donews.com/chnl/archive/2007/04/10/1153720.aspx
针对少量ip大量连接方式对网站攻击的简单处理方案(Apache mod_limitipconn, Iptalbles,dynfw)
以下只是针对针对少量ip大量连接的初级的攻击方式有一定效果,
截取自针对朋友网站真实情况的一些处理方法。
1、Apache:
mod_limitipconn模块,mod_limitipconn的相信配置,请参考:http://dominia.org/djao/limitipconn2.html
配置如下:
LoadModule limitipconn_module modules/mod_limitipconn.so
<IfModule mod_limitipconn.c>
<Location />
MaxConnPerIP 25
</Location>
</IfModule>
对单个ip对服务器页面的连接数量限制为25以内,超过25,会给用户返回503错误;
此限制主要针对的连接状态主要为ESTABLISHED;
此限制不会把用户ip加入黑名单。
2、iptables:
结合dynfw使用,dynfw的详细使用请参考:http://www.gentoo.org/proj/en/dynfw.xml
相关脚本实现请参考以下文件:
此配置限制单个ip对服务器80端口的socket连接(包含各种连接状态,如time_wait,FIN_WAIT2,ESTABLISHED等等),减轻服务器的网络压力,及对apache的连接数的占用。
此配置的限制数量为50,超过50个连接的用户将被加入黑名单;
(此处实现,其实可以通过iptables的 iplimit 模块实现,并且在效率和灵活性上都会更好,但使用此扩展需要重新编译内核模块,并且需要重新启动操作系统,对我的生产环境不太适合,因此采用了这个笨方法实现此功能。iplimit 的详细情况请参考http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html)
另外,关于黑名单的处理,可以考虑定期对过期的iptables黑名单进行清空处理,可以采用ipdrop off,或者直接清空iptables的相关规则,应为此类ip大多是adsl的动态ip。
3、相关脚本文件:
[root@TServer drop_ip]# ls
do_drop.sh get_cnt.sh get_conn_ip.sh to_drop.sh
[root@TServer drop_ip]# for File in `ls`; do echo "############"; echo $File; echo "############" ; cat $File ; done
############
1)do_drop.sh
############
#!/bin/sh
PATH=/bin:/usr/bin:/sbin:/usr/sbin:/usr/local/bin:/usr/local/sbin
cd /home/cl/ipt/drop_ip
./to_drop.sh 192.168.10.209 80
############
2)get_cnt.sh
############
#!/bin/sh
if [ $# -ne 2 ]; then
echo "Usage $0 IP Port"
exit 101
fi
gip=$1
gport=$2
./get_conn_ip.sh $gip $gport | sort | uniq -c | sort -n -r
############
3)get_conn_ip.sh
############
#!/bin/sh
if [ $# -ne 2 ]; then
echo "Usage $0 IP Port"
exit 101
fi
gip=$1
gport=$2
netstat -an | grep "$gip":"$gport" | awk '{print $5}' | sed 's//:/:ffff/://g' | awk -F ":" '{print $1}'
############
4)to_drop.sh
############
#!/bin/sh
if [ $# -ne 2 ]; then
echo "Usage $0 IP Port"
exit 101
fi
gip=$1
gport=$2
DropLog=./drop.log
CntLog=./cnt.log
BIPList=./bip.list
LimitCnt=20
echo "#######################" >> $DropLog
date >> $DropLog
./get_cnt.sh $gip $gport > $CntLog
while read record
do
bcnt=$(echo "$record" | awk '{print $1}')
bip=$(echo "$record" | awk '{print $2}')
if [ $bcnt -ge $LimitCnt ]; then
echo "$record" >>$DropLog
echo $bcnt>>$DropLog
echo $bip>>$DropLog
echo $bip>>bip.list
echo ipdrop $bip on >>$DropLog
/usr/local/sbin/ipdrop $bip on >>$DropLog
else
echo "Finished." >>$DropLog
exit 0
fi
done < $CntLog
[root@TServer drop_ip]#
注解:
A. 其中do_drop.sh是入口文件。
在这个文件中,需要指定限制的ip及端口,如果需要对192.168.10.10.209的80端口的连接做限制,则可以执行 ./to_drop.sh 192.168.10.209 80。
B. 可以通过crontab定期执行该文件,如每5分钟一次,来对ip的连接数量做限制,如:
[root@TServer drop_ip]# crontab -l
*/5 * * * * /home/cl/ipt/drop_ip/do_drop.sh
或者通过入口shell自己控制,不过还是推荐使用crontd方式。
C. 相关的日志文件及list文件(存放已经被drop的黑名单)会自动产生。
如果有感兴趣或着有问题的,欢迎联络。Email: chnl@163.com
Trackback: http://tb.donews.net/TrackBack.aspx?PostId=1153720