> 网络安全 > 黑客攻防 > DDoS攻击 >

linux检测及防止x系统下要如何ddos攻击

身为一个网站的站长,不仅要保证网站的流量提升,还要预防DDOS攻击,那么在Linux系统下要如何检测DDOS攻击呢?又该如何防止DDOS攻击呢?这都是一门学问。
 
利用netstat 工具来检测查看SYN连接
 
  netstat -n -p -t
 
  Active Internet connections (w/o servers)
 
  Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
 
  tcp 0 0 192.168.0.200:5050 192.168.0.38:48892 TIME_WAIT -
 
  tcp 0 0 192.168.0.200:5050 192.168.0.38:36604 TIME_WAIT -
 
  tcp 0 0 192.168.0.200:5050 192.168.0.38:52988 TIME_WAIT -
 
  tcp 0 0 192.168.0.200:5050 192.168.0.38:38911 TIME_WAIT -
 
  tcp 0 0 192.168.0.200:5050 192.168.0.38:58623 TIME_WAIT -
 
  tcp 0 0 192.168.0.200:43690 192.168.0.200:61616 ESTABLISHED 10415/java
 
  当然我上面的都是正常连接。当然TIME_WAIT如果占比过多,肯定也是不正常的。(要么受到了攻击,要么需要参数调优。)
 
  而受到DDOS恶意攻击的情况下会在系统中看到的,很多连接处于SYN_RECV状态(在WINDOWS系统中是SYN_RECEIVED状态)源IP地址都是随机的,表明这是一种带有IP欺骗的SYN攻击。
 
  tcp 0 10.11.11.11:23 124.173.152.8:25882 SYN_RECV-
 
  tcp 0 10.11.11.11:23 236.15.133.204:2577 SYN_RECV-
 
  tcp 0 10.11.11.11:23 127.160.6.129:51748 SYN_RECV-
 
  具体主机的端口状态有以下几种:
 
  CLOSED:无连接是活动的或正在进行
 
  LISTEN:服务器在等待进入呼叫
 
  SYN_RECV:一个连接请求已经到达,等待确认
 
  SYN_SENT:应用已经开始,打开一个连接
 
  ESTABLISHED:正常数据传输状态
 
  FIN_WAIT1:应用说它已经完成
 
  FIN_WAIT2:另一边已同意释放
 
  ITMED_WAIT:等待所有分组死掉
 
  CLOSING:两边同时尝试关闭
 
  TIME_WAIT:另一边已初始化一个释放
 
  LAST_ACK:等待所有分组死掉
 
  稍微更详细的说明可以看下百度百科上对ESTABLISHED状态的解释及延伸。
 
  具体SYN_RECV状态的统计比较多,我这里介绍两种脚本的写法:
 
  netstat -an | awk ‘/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}’
 
  上面的脚本会列出所有状态的连接数。
 
  netstat -n -p -t | grep SYN_RECV | grep :80 | wc -l
 
  当然,上面80是特指web站点受到DDOS攻击。
 
 
 
 
 
 
LINUX下DDOS SYN攻击的防范
  防范也主要从两方面入手,一是sysctl的自身的关于syn方面的配置,二是防火墙策略上。
 
  sysctl -w net.ipv4.tcp_syncookies=1 # tcp syncookie,默认关闭
 
  sysctl -w net.ipv4.tcp_max_syn_backlog=1280 # syn队列,默认1024,》 1280可能工作不稳定,需要修改内核源码参数
 
  sysctl -w net.ipv4.tcp_synack_retries=2 # syn-ack握手状态重试次数,默认5,遭受syn-flood攻击时改为1或2
 
  sysctl -w net.ipv4.tcp_syn_retries=2 # 外向syn握手重试次数,默认4
 
  以上四处是网上经常提到的几个地方,当然还有未提到的也可以通过下列命令查看。
 
  [root@web3 nginx]# sysctl -a|grep syn
 
  net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60
 
  net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120
 
  net.ipv4.tcp_max_syn_backlog = 1024
 
  net.ipv4.tcp_syncookies = 1
 
  net.ipv4.tcp_synack_retries = 5
 
  net.ipv4.tcp_syn_retries = 5
 
  fs.quota.syncs = 25
 
  如未受到攻击,上面的参数不建议修改。据说有增加主机的不稳定性的风险。
 
  防火墙策略:
 
  #缩短SYN- Timeout时间:
 
  iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
 
  iptables -A INPUT -i eth0 -m limit --limit 1/sec --limit-burst 5 -j ACCEPT
 
  #每秒最多3个syn封包进入:
 
  iptables -N syn-floodiptables -A INPUT -p tcp --syn -j syn-flood
 
  iptables -A syn-flood -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURNiptables -A syn-flood -j REJECT
 
 
 
 
 
 
利用iptables防ddos攻击更详细版本
  RH 8.0以上开始启用iptables替代ipchains,两者非常类似,也有差别的地方。
 
  * 启用iptables
 
  如果/etc/sysconfig/下没有iptables文件,可以创建:
 
  # Firewall configuration written by lokkit
 
  # Manual customization of this file is not recommended.
 
  # Note: ifup-post will punch the current nameservers through the
 
  # firewall; such entries will *not* be listed here.
 
  *filter
 
  :INPUT ACCEPT [0:0]
 
  :FORWARD ACCEPT [0:0]
 
  :OUTPUT ACCEPT [0:0]
 
  :RH-Lokkit-0-50-INPUT - [0:0]
 
  -A INPUT -j RH-Lokkit-0-50-INPUT
 
  -A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
 
  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ftp -j ACCEPT
 
  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ssh -j ACCEPT
 
  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport http -j ACCEPT
 
  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport smtp -j ACCEPT
 
  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport pop3 -j ACCEPT
 
  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport mysql -j ACCEPT
 
  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2001 -j ACCEPT
 
  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport domain -j ACCEPT
 
  -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport domain -j ACCEPT
 
  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
 
  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
 
  -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
 
  -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
 
  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
 
  -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT
 
  COMMIT
 
  以上配置允许了ftp, ssh, http, smtp, pop3, mysql, 2001(Prima的ACA端口),domain端口。
 
  * 启动iptables
 
  /etc/init.d/iptables start
 
  * 设置iptables为自动启动
 
  chkconfig --level 2345 iptables on
 
  * 用iptables屏蔽IP
 
  iptables -I RH-Lokkit-0-50-INPUT 1 -p tcp -m tcp -s 213.8.166.227 --dport 80 --syn -j REJECT
 
  注意到,和ipchains的区别是:
 
  -I 后面跟的规则名称的参数和ipchains不同,不是统一的input,而是在/etc/sysconfig/iptables里定义的那个
 
  多了-m tcp
 
  指定端口的参数是--dport 80
 
  多了--syn参数,可以自动检测sync攻击
 
  使用iptables禁止ping:
 
  -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 2 -j ACCEPT
 
  -A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with icmp-port-unreachable
 
  允许某ip连接
 
  -I RH-Firewall-1-INPUT 1 -p tcp -m tcp -s 192.168.0.51 --syn -j ACCEPT
 
  注:具体的端口需要根据自己的网络来进行相应的修改。
 
 
 
 
 
 
利用自动屏蔽DDOS攻击者IP的软件:DDoS deflat、安装DDoS deflate
  wget http://www.inetbase.com/scripts/ddos/install.sh //下载DDoS deflate
 
  chmod 0700 install.sh //添加权限
 
  。/install.sh //执行
 
  2、配置DDoS deflate
 
  下面是DDoS deflate的默认配置位于/usr/local/ddos/ddos.conf
 
  内容如下:
 
  ##### Paths of the script and other files
 
  PROGDIR=“/usr/local/ddos”
 
  PROG=“/usr/local/ddos/ddos.sh”
 
  IGNORE_IP_LIST=“/usr/local/ddos/ignore.ip.list” //IP地址白名单
 
  CRON=“/etc/cron.d/ddos.cron” //定时执行程序
 
  APF=“/etc/apf/apf”
 
  IPT=“/sbin/iptables”
 
  ##### frequency in minutes for running the script
 
  ##### Caution: Every time this setting is changed, run the script with –cron
 
  ##### option so that the new frequency takes effect
 
  FREQ=1 //检查时间间隔,默认1分钟
 
  ##### How many connections define a bad IP? Indicate that below.
 
  NO_OF_CONNECTIONS=150 //最大连接数,超过这个数IP就会被屏蔽,一般默认即可
 
  ##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
 
  ##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
 
  APF_BAN=1 //使用APF还是iptables。推荐使用iptables,将APF_BAN的值改为0即可。
 
  ##### KILL=0 (Bad IPs are’nt banned, good for interactive execution of script)
 
  ##### KILL=1 (Recommended setting)
 
  KILL=1 //是否屏蔽IP,默认即可
 
  ##### An email is sent to the following address when an IP is banned.
 
  ##### Blank would suppress sending of mails
 
  EMAIL_TO=“root” //当IP被屏蔽时给指定邮箱发送邮件,推荐使用,换成自己的邮箱即可
 
  ##### Number of seconds the banned ip should remain in blacklist.
 
  BAN_PERIOD=600 //禁用IP时间,默认600秒,可根据情况调整用户可根据给默认配置文件加上的注释提示内容,修改配置文件。
 
  用户可根据给默认配置文件加上的注释提示内容,修改配置文件。
 
  查看/usr/local/ddos/ddos.sh文件的第117行
 
  netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr 》 $BAD_IP_LIST
 
  修改为以下代码即可!
 
  netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sed -n ‘/[0-9]/p’ | sort | uniq -c | sort -nr 》 $BAD_IP_LIST
 
  用户也可以用Web压力测试软件测试一下效果,相信DDoS deflate还是能给你的VPS或服务器抵御一部分DDOS攻击,给你的网站更多的保护。
 
  上面就是Linux检测和防止DDOS攻击的方法介绍了,防范胜于治疗,及早防止DDOS攻击比DDOS攻击后再处理更方便。
 


 
 
 
 
 
 
 
 
 
 
(责任编辑:IT)