52AV手機A片王|52AV.ONE

標題: 針對Web server(port 80)的DDoS攻擊防護,以iptables實作 [打印本頁]
作者: IT_man    時間: 2016-10-8 21:08
標題: 針對Web server(port 80)的DDoS攻擊防護,以iptables實作
Linux強大的iptables,有一個名為ipt_recent的module,能阻擋DDoS攻擊。
6 p6 [! G$ U, D( ]- q/ b% t8 D例如,你可以新增一個chain: iptables -N WEB_SRV_DOS 或是 ":WEB_SRV_DOS - [0:0]"- X: N0 e% R% ^
然後,再用以下的指令,把60秒內hit port 80/443超過10次的IP阻擋並記錄下來:
3 y8 a' P' g4 S6 F2 ~
  1. iptables -A INPUT -p tcp -m multiport –dports 80,443 -j WEB_SRV_DOS
  2. iptables -A WEB_SRV_DOS -p tcp --syn -m multiport --dports 80,443 -m recent --rcheck --second 60 --hitcount 10 -j LOG --log-prefix "[Possible DOS Attack]"
  3. iptables -A WEB_SRV_DOS -p tcp --syn -m multiport --dports 80,443 -m recent --rcheck --second 60 --hitcount 10 -j REJECT        
  4. iptables -A WEB_SRV_DOS -p tcp --syn -m multiport --dports 80,443 -m recent --set        
  5. iptables -A WEB_SRV_DOS -p tcp -m multiport --dports 80,443 -j ACCEPT
複製代碼

& p+ N) _/ e8 W& a% E如果你看dmesg遇到下列這類錯誤:        
, P  l0 J5 r! ~( _hitcount (200) is larger than packets to be remembered (20)
# r, o" j/ I( u" l$ c表示你設定要計算的次數大於ipt_recent所設定的上限,可透過調整ipt_recent module的ip_pkt_list_tot參數來解決。
' W  T. H" ^& M8 `
% D, l* w$ O; Q測試一下吧:
5 W, }  u- ~5 ^7 G先對測試site發出大量的 http request [size=13.376px](可以寫程式來跑,或用所謂的工人智慧 – 用browser開多個TAB,不斷的reload網頁。)
8 _8 }0 Y1 }# u( E, S* m9 x可以發現在/var/log/message中出現下列訊息:$ a; f& a; {7 J3 y0 D
May 17 07:12:00 localhost kernel: [Possible DOS Attack]IN=eth0 OUT= MAC=XX:XX:XX:XX:43:77:00:1f:YY:YY:YY:YY SRC=192.168.0.105 DST=192.168.0.102 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=45026 DF PROTO=TCP SPT=59437 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0' g9 r7 P  o/ h$ [5 g7 ^
此時再以browser打開測試網頁,則會出現Connection refused,無法連上(因為我設定的rule是REJECT)。
* D9 J7 J) I/ g7 B. EOK,iptables的ipt_recent module發揮作用了。/ P3 }% m2 Q& O8 t( @

4 p2 f: v0 G+ S  l' g5 v4 `結論:' G9 v+ L. Z) D5 l% p
(1) iptables在網路層即阻擋掉攻擊封包,對server的loading影響較小
& p) }5 I( n. t# s/ B9 f(2) iptables設定上較有彈性,可用來防護80,443以外的port2 d4 O, F2 e! X4 j; |) L
(3) iptables可設定於獨立的主機,擺在server的前方進行保護,可以完全不讓攻擊封包進入server。3 M5 q  W+ w  p' Y
如果你是用MS Windows + IIS,別傷心,你可以參考AQTRONIX WebKnight這套免費的web application firewall,裡面即有防護DDoS攻擊的功能。7 w9 u2 X( V9 a0 B9 r
! {3 a$ A$ D' x) {  q. Z! D
3 N  t$ |+ E/ {- f# R* f
參考原文: http://blog.eztable.com/2011/05/17/how-to-prevent-ddos/
( m7 ]6 f0 H, P, f# b8 D# G
  F% E: a5 v& F0 X- M: \================================================
. Y/ }2 A  y( G偵測可疑IP 的指令:5 R  R4 |' _# ^' U' B
sed 's/ .*//' access.log | sort | uniq -c | sort -n
1 n$ [3 ]2 [, H! M( n4 Zperl -ne 'print "$1*\n" if m#^((\d+\.){3})#' access.log | sort | uniq -c | sort -n
& `- g& Q  K% N# Q, X4 Z



歡迎光臨 52AV手機A片王|52AV.ONE (https://www.52av.one/) Powered by Discuz! X3.2