如何配置ipchains防止ddos攻击？

BILLSSJONE 2008-03-23 07:43:44

怎么写规则？

...全文

114 3 打赏收藏转发到动态举报

写回复

用AI写文章

3 条回复

切换为时间正序

请发表友善的回复…

发表回复

songzairan 2008-09-08

打赏
举报

顶一个!学习....

mrshelly 2008-03-23

打赏
举报

网上好多文章.
不外乎几种.
1 使用 limit 来限制同一IP的连接数.
2 使用 syn 来限制 syn 连接数.
3 还可以使用扩展包来进行包内容过滤.

对于CC攻击,则是采用查看IPCC攻击的规律.再禁止该IP的所有连接..

BILLSSJONE 2008-03-23

打赏
举报

不是ipchains是Iptables

linux系统怎么防止DDOS攻击.pdf

安装方法： 1、下载附件中的压缩包，解压并拷贝mod_dosevasive22.dll到Apache安装目录下的modules目录（当然也可以是其他目录，需要自己修改路径）。 2、修改Apache的配置文件http.conf。添加以下内容 LoadModule dosevasive22_module modules/mod_dosevasive22.so DOSHashTableSize 3097 DOSPageCount 3 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 10 其中DOSHashTableSize 3097 记录黑名单的尺寸 DOSPageCount 3 每个页面被判断为dos攻击的读取次数 DOSSiteCount 50 每个站点被判断为dos攻击的读取部件(object)的个数 DOSPageInterval 1 读取页面间隔秒 DOSSiteInterval 1 读取站点间隔秒 DOSBlockingPeriod 10 被封时间间隔秒 mod_dosevasive v1.10 什么是mod_dosevasive? mod_dosevasive是一种提供躲避 HTTP DOS/DDOS攻击或暴力强制攻击的apache模块。它同样可以用作网络探测和管理的工具，通过简单的配置，就可以同ipchains（ip链？）防火墙，路由器等设备进行对话。并通过email或系统日志提供报告。发现攻击是通过创建一个内建的IP地址和URIs的动态哈希表来完成，并且阻止同一ip在以下的情况： 1.在同一秒多次请求同一页面 2.对同一child(对象？)作出超过50个并发请求 3.被列入黑名单的ip 这种方式在单点攻击和分布式多点攻击的状况下都能很好工作，但如同其它的防黑软件一样，只是针对于那些对网络带宽和处理器消耗的攻击，所以这就是为什么我们要推荐你将它与你的防火墙和路由器配合使用，因为这样才能提供最大限度的保护。这个模块有一个内建的滤除机制和级别设定，对付不同情况，正因如此合法请求不会受到妨碍，即使一个用户数次连击“刷新”，也不会受到影响，除非，他是故意这样做的。mod_dosevasive完全可以通过apache配置文件来配置，很容易就可以集成到你的web服务器，并且容易使用。 DOSHashTableSize ---------------- 哈希表的大小决定每个子级哈希表的顶级节点数,越多则越可避免反复的查表，但会占据更多内存，如果你的服务器要应付很多访问，那就增大它。The value you specify will automatically be tiered up to the next prime number in the primes list (see mod_dosevasive.c for a list of primes used). DOSPageCount ------------ 规定请求同一页面（URI）的时间间隔犯规的次数，一旦超过，用户ip将被列入黑名单 DOSSiteCount ------------ 规定请求站内同一物件的时间间隔犯规的次数，一旦超过，用户ip将被列入黑名单 DOSPageInterval --------------- 同一页面的规定间隔时间，默认为1秒 DOSSiteInterval --------------- 站内同一物件的时间间隔，默认为1秒 DOSBlockingPeriod ----------------- The blocking period 是规定列入黑名单内ip的禁止时限，在时限内，用户继续访问将收到403 (Forbidden)的错误提示，并且计时器将重置。由于列入黑名单后每次访问都会重新计时，所以不必将时限设置太大。在Dos攻击下，计时器也会保持重置 DOSEmailNotify -------------- 假如这个选项被设置，每个ip被列入黑名单时，都将发送email通知。但有机制防止重复发送相同的通知注意：请确定mod_dosevasive.c (or mod_dosevasive20.c)已正确配置。默认配置是 "/bin/mail -t %s" %s 是email发送的目的地址，假如你是linux或其它使用别的邮箱的操作系统，你需要修改这里 DOSSystemCommand ---------------- 假如设置了此项，当有ip被列入黑名单，指定的系统命令将被执行，此项功能被设计为受攻击时可以执行ip过滤器和其它的工具软件，有内建机制避免对相同攻击作重复反应用 %s 表示黑名单中的ip DOSLogDir --------- 系统日志目录默认"/tmp"目录用作保密机制，仅向一些特权级用户开放 (这里有些不懂，可能翻错了) By default "/tmp" will be used for locking mechanism, which opens some security issues if your system is open to shell users. 在没有特权shell用户时，你应该为apache服务器用户(通常为root)创建一个只可写的文件夹,并在httpd.conf里配置访问权限 WHITELISTING IP ADDRESSES 在1.8版中提供信任ip机制进入信任ip名单的ip它们将不会受到阻止，次功能主要是用于保护软件，scripts，本地搜索，或其它的自动工具对服务器进行大量的资源请求时不会被阻止请确认而不是用在添加客户或其它什么类别的人员，因为这将给本模块进行正常工作带来阻碍信任ip名单应在apache配置文件中添加如下格式的字段（可以是ip段） DOSWhitelist 127.0.0.1 DOSWhitelist 127.0.0.* ip地址后三段可以使用通配符，并且可以各格式复用 TWEAKING APACHE keep-alive项是确保能阻止攻击(至少其中一部分攻击). 但在阻止攻击，发送403页面前，5-10 个页面还是会通过阻止而发送 . 所以你必须设置足够高的MaxRequestsPerChild, 但不是无限,是一个非零的数，默认的MaxRequestsPerChild设定是10000. 这还是将允许少量的攻击进入，但如果你配合防火强使用，将天衣无缝 TESTING 运行 test.pl来测试是否安装成功，如果不是localhost的话，修改其中的服务器地址字段，成功的话在25－50个（取决于你的配置）请求后你将收到403 forbidden回复。

虚拟主机服务商在运营过程中可能会受到黑客攻击，常见的攻击方式有SYN，DDOS等。通过更换IP，查找被攻击的站点可能避开攻击，但是中断服务的时间比较长。比较彻底的解决方法是添置硬件防火墙。不过，硬件防火墙价格比较昂贵。可以考虑利用Linux系统本身提供的防火墙功能来防御。1. 抵御SYNSYN攻击是利用TCP/IP协议3次握手的原理，发送大量的建立连接的网络包，但不实际建立连接，最终导...

用 squid是利用端口映射的功能，可以将80端口转换一下，其实一般的DDOS攻击可以修改/proc/sys/net/ipv4 /tcp_max_syn_backlog里的参数就行了，默认参数一般都很小，设为8000以上，一般的DDOS攻击就可以解决了。如果上升到 timeout阶段，可以将/proc/sys/net/ipv4/tcp_fin_timeout设小点。大家都在讨论DDOS，个人认为目

用Linux系统防火墙功能抵御网络攻击虚拟主机服务商在运营过程中可能会受到黑客攻击，常见的攻击方式有SYN，DDOS等。通过更换IP，查找被攻击的站点可能避开攻击，但是中断服务的时间比较长。比较彻底的解决方法是添置硬件防火墙。不过，硬件防火墙价格比较昂贵。可以考虑利用Linux系统本身提供的防火墙功能来防御。1. 抵御SYNSYN攻击是利用TCP/IP协议3次握手的原理，发送大量的建立连接的网络包

基础编程

21,893

社区成员

140,347

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章