52AV手機A片王|52AV.ONE

標題: 針對Web server(port 80)的DDoS攻擊防護,以iptables實作 [打印本頁]
作者: IT_man    時間: 2016-10-8 21:08
標題: 針對Web server(port 80)的DDoS攻擊防護,以iptables實作
Linux強大的iptables,有一個名為ipt_recent的module,能阻擋DDoS攻擊。
7 ]& B3 m, R) P' b! h例如,你可以新增一個chain: iptables -N WEB_SRV_DOS 或是 ":WEB_SRV_DOS - [0:0]"
4 w- v4 i  }6 ^+ d然後,再用以下的指令,把60秒內hit port 80/443超過10次的IP阻擋並記錄下來:0 F4 W* d! F* S
  1. iptables -A INPUT -p tcp -m multiport –dports 80,443 -j WEB_SRV_DOS
  2. iptables -A WEB_SRV_DOS -p tcp --syn -m multiport --dports 80,443 -m recent --rcheck --second 60 --hitcount 10 -j LOG --log-prefix "[Possible DOS Attack]"
  3. iptables -A WEB_SRV_DOS -p tcp --syn -m multiport --dports 80,443 -m recent --rcheck --second 60 --hitcount 10 -j REJECT        
  4. iptables -A WEB_SRV_DOS -p tcp --syn -m multiport --dports 80,443 -m recent --set        
  5. iptables -A WEB_SRV_DOS -p tcp -m multiport --dports 80,443 -j ACCEPT
複製代碼
+ s8 S( W; O0 x9 ]
如果你看dmesg遇到下列這類錯誤:        : A7 m- ~& H! r5 E( l
hitcount (200) is larger than packets to be remembered (20) 4 T: q1 V0 r) W
表示你設定要計算的次數大於ipt_recent所設定的上限,可透過調整ipt_recent module的ip_pkt_list_tot參數來解決。
, C/ D3 z* {5 l8 L1 C/ p0 A  @& O1 I4 g
測試一下吧:5 G3 K$ |4 q, q+ h; E, h7 s
先對測試site發出大量的 http request [size=13.376px](可以寫程式來跑,或用所謂的工人智慧 – 用browser開多個TAB,不斷的reload網頁。)* ~4 ]0 h4 k; M/ L2 ]! b
可以發現在/var/log/message中出現下列訊息:$ B4 {( O% a" K( F- F
May 17 07:12:00 localhost kernel: [Possible DOS Attack]IN=eth0 OUT= MAC=XX:XX:XX:XX:43:77:00:1f:YY:YY:YY:YY SRC=192.168.0.105 DST=192.168.0.102 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=45026 DF PROTO=TCP SPT=59437 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
5 U, W+ }. x. E6 L$ ^6 v! B此時再以browser打開測試網頁,則會出現Connection refused,無法連上(因為我設定的rule是REJECT)。% N& S+ ~7 `( G; k: {
OK,iptables的ipt_recent module發揮作用了。% o' X! V+ S1 l1 o& B9 W
. P0 A9 P9 E0 B6 @( {1 I
結論:4 u* _1 C# Q; v) I/ T
(1) iptables在網路層即阻擋掉攻擊封包,對server的loading影響較小
- N# d$ i) {% w% S; T5 x: n(2) iptables設定上較有彈性,可用來防護80,443以外的port& ^, l$ A: H% Y2 {( K8 I
(3) iptables可設定於獨立的主機,擺在server的前方進行保護,可以完全不讓攻擊封包進入server。
" t+ R8 [% [3 m8 Q如果你是用MS Windows + IIS,別傷心,你可以參考AQTRONIX WebKnight這套免費的web application firewall,裡面即有防護DDoS攻擊的功能。& {% z. L- @: T5 M2 l0 f
+ m6 }: |' |# G; R- R
' ?5 I, u. y/ \
參考原文: http://blog.eztable.com/2011/05/17/how-to-prevent-ddos/5 v, G9 Z2 `& d3 u7 r
! w' P4 L. R( R# u: [/ a7 H
================================================# A/ h. e) E4 o7 A# F4 V# [' E
偵測可疑IP 的指令:) `3 K3 K* p3 D  n) z$ j" q# |: Y
sed 's/ .*//' access.log | sort | uniq -c | sort -n3 B) ~9 y0 r# q" T
perl -ne 'print "$1*\n" if m#^((\d+\.){3})#' access.log | sort | uniq -c | sort -n
" _6 d/ Y6 d; {* ~3 d



歡迎光臨 52AV手機A片王|52AV.ONE (https://www.itech.casa/) Powered by Discuz! X3.2