针对少量ip大量连接方式对网站攻击的简单处理方案(Apache mod_limitipconn, Iptalbles,dynfw)
来源:互联网 发布:淘宝怎么让客服介入 编辑:程序博客网 时间:2024/06/05 15:17
refer:http://blog.donews.com/chnl/archive/2007/04/10/1153720.aspx
针对少量ip大量连接方式对网站攻击的简单处理方案(Apache mod_limitipconn, Iptalbles,dynfw)
以下只是针对针对少量ip大量连接的初级的攻击方式有一定效果,
截取自针对朋友网站真实情况的一些处理方法。
1、Apache:
mod_limitipconn模块,mod_limitipconn的相信配置,请参考:http://dominia.org/djao/limitipconn2.html
配置如下:
LoadModule limitipconn_module modules/mod_limitipconn.so
<IfModule mod_limitipconn.c>
<Location />
MaxConnPerIP 25
</Location>
</IfModule>
对单个ip对服务器页面的连接数量限制为25以内,超过25,会给用户返回503错误;
此限制主要针对的连接状态主要为ESTABLISHED;
此限制不会把用户ip加入黑名单。
2、iptables:
结合dynfw使用,dynfw的详细使用请参考:http://www.gentoo.org/proj/en/dynfw.xml
相关脚本实现请参考以下文件:
此配置限制单个ip对服务器80端口的socket连接(包含各种连接状态,如time_wait,FIN_WAIT2,ESTABLISHED等等),减轻服务器的网络压力,及对apache的连接数的占用。
此配置的限制数量为50,超过50个连接的用户将被加入黑名单;
(此处实现,其实可以通过iptables的 iplimit 模块实现,并且在效率和灵活性上都会更好,但使用此扩展需要重新编译内核模块,并且需要重新启动操作系统,对我的生产环境不太适合,因此采用了这个笨方法实现此功能。iplimit 的详细情况请参考http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html)
另外,关于黑名单的处理,可以考虑定期对过期的iptables黑名单进行清空处理,可以采用ipdrop off,或者直接清空iptables的相关规则,应为此类ip大多是adsl的动态ip。
3、相关脚本文件:
[root@TServer drop_ip]# ls
do_drop.sh get_cnt.sh get_conn_ip.sh to_drop.sh
[root@TServer drop_ip]# for File in `ls`; do echo "############"; echo $File; echo "############" ; cat $File ; done
############
1)do_drop.sh
############
#!/bin/sh
PATH=/bin:/usr/bin:/sbin:/usr/sbin:/usr/local/bin:/usr/local/sbin
cd /home/cl/ipt/drop_ip
./to_drop.sh 192.168.10.209 80
############
2)get_cnt.sh
############
#!/bin/sh
if [ $# -ne 2 ]; then
echo "Usage $0 IP Port"
exit 101
fi
gip=$1
gport=$2
./get_conn_ip.sh $gip $gport | sort | uniq -c | sort -n -r
############
3)get_conn_ip.sh
############
#!/bin/sh
if [ $# -ne 2 ]; then
echo "Usage $0 IP Port"
exit 101
fi
gip=$1
gport=$2
netstat -an | grep "$gip":"$gport" | awk '{print $5}' | sed 's//:/:ffff/://g' | awk -F ":" '{print $1}'
############
4)to_drop.sh
############
#!/bin/sh
if [ $# -ne 2 ]; then
echo "Usage $0 IP Port"
exit 101
fi
gip=$1
gport=$2
DropLog=./drop.log
CntLog=./cnt.log
BIPList=./bip.list
LimitCnt=20
echo "#######################" >> $DropLog
date >> $DropLog
./get_cnt.sh $gip $gport > $CntLog
while read record
do
bcnt=$(echo "$record" | awk '{print $1}')
bip=$(echo "$record" | awk '{print $2}')
if [ $bcnt -ge $LimitCnt ]; then
echo "$record" >>$DropLog
echo $bcnt>>$DropLog
echo $bip>>$DropLog
echo $bip>>bip.list
echo ipdrop $bip on >>$DropLog
/usr/local/sbin/ipdrop $bip on >>$DropLog
else
echo "Finished." >>$DropLog
exit 0
fi
done < $CntLog
[root@TServer drop_ip]#
注解:
A. 其中do_drop.sh是入口文件。
在这个文件中,需要指定限制的ip及端口,如果需要对192.168.10.10.209的80端口的连接做限制,则可以执行 ./to_drop.sh 192.168.10.209 80。
B. 可以通过crontab定期执行该文件,如每5分钟一次,来对ip的连接数量做限制,如:
[root@TServer drop_ip]# crontab -l
*/5 * * * * /home/cl/ipt/drop_ip/do_drop.sh
或者通过入口shell自己控制,不过还是推荐使用crontd方式。
C. 相关的日志文件及list文件(存放已经被drop的黑名单)会自动产生。
如果有感兴趣或着有问题的,欢迎联络。Email: chnl@163.com
Trackback: http://tb.donews.net/TrackBack.aspx?PostId=1153720
- 针对少量ip大量连接方式对网站攻击的简单处理方案(Apache mod_limitipconn, Iptalbles,dynfw)
- apache的mod_limitipconn模块来限制每个IP的并发连接数量
- 使用mod_limitipconn限制Apache的并发连接数
- centos7安装apache插件mod_limitipconn和mod_bandwidth实现限制IP连接限制带宽
- 对Action中返回的少量字符串的处理方式(不写转发页面)
- apache加载mod_limitipconn,限制并发连接数
- 针对PHP的网站主要存在下面几种攻击方式:
- Java-针对查询大量数据时,解决效率的方案
- 针对SecurityException的处理方式
- 常见的网站攻击方式
- 常见的网站攻击方式
- python用select方式实现io复用对服务端发起大量连接(短连接)
- python用select方式实现io复用对服务端发起大量连接(长连接)
- python用epoll方式实现客户端对服务端发起大量连接(短连接)
- python用epoll方式实现客户端对服务端发起大量连接(长连接)
- 十进制转IP地址的简单处理方案
- 使用mod_limitipconn.c来限制apache的并发数
- 不用分布式方式,处理大量数据的问题(2)
- ARP攻击的原理,现象,和解决方法
- Linux中流媒体Helix Server的安装和配置
- UnixUtils
- C#开发WINDOWS应用程序时消息的处理
- [转帖] ASP.NET(C#)常用代码30例
- 针对少量ip大量连接方式对网站攻击的简单处理方案(Apache mod_limitipconn, Iptalbles,dynfw)
- ANSI/ISO C++ Professional Programmer's Handbook 12
- 外盘和内盘的学问
- jboss4.2中的类加载问题
- SAS input 选项的应用实例
- EMC SRDF、IBM PPRC 、HP BusinessCopy、HDS TrueCopy同城/异地容灾备份案例精华(二)
- struts开发实践—分页的实现
- 不要小瞧你的第一份工作
- Interview Question Site Link