上篇blog说到,httpd要求数太多,apache连接数不足,增加线程数的作法,在受ddos,cc攻击的情形下,最后的結果便是服务器资源耗光,造成卡死。
检测网络服务器,都没有想起会遭受攻击,哪些预防措施都没有做。装了csf的防火墙,在解决少许ddos,cc攻击的,或是挺有用的,之前也使用过apf也挺好,请参照 linux apf 防火墙 安裝 配置。下边纪录一下,我是怎么发觉攻击,而且是怎么解决的。
1,调节apache的联接,一直会被布满,服务器资源耗费的很厉害,检测网络服务器,沒有安装监控,nagios,cacti,munin,我的网站里边都是有。可以自身搜索一下。
2,查询了一下apache的日志,发觉某一个IP,要求某一个php,二天内做到9万多元,apache的log干了翻转的,所以说通常情况下,不太可能有这么多,而且这也是检测网络服务器。看下面的图。
ddos 攻击
下边说一下安裝配置全过程
一,安装下载
wget tar -zxvf csf.tgz cd csf sh install.sh假如报perl控制模块不正确,
yum install perl-libwww-perl perl测试一下csf
[root@rudder csf]# perl /etc/csf/csftest.pl Testing ip_tables/iptable_filter...OK Testing ipt_LOG...OK Testing ipt_multiport/xt_multiport...OK Testing ipt_REJECT...OK Testing ipt_state/xt_state...OK Testing ipt_limit/xt_limit...OK Testing ipt_recent...OK Testing xt_connlimit...OK Testing ipt_owner/xt_owner...OK Testing iptable_nat/ipt_REDIRECT...OK Testing iptable_nat/ipt_DNAT...OK RESULT: csf should function on this server二,配置csf
配置文档里边,可配置的東西许多,基本上配置就不多说了,在网上有。在这儿说一下,如何配置避免小量的ddos,cc攻击
1,端口水灾攻击维护
vim /etc/csf/csf.conf //我做了二处修改,第一处如下所示 PORTFLOOD = "22;tcp;5;300,80;tcp;20;5"表述:
1),假如300秒内有5个以上联接到tcp端口22的连接,则最少在发觉最后一个数据300秒后阻止该IP地址浏览端口22,即在该阻止被撤销前有300秒的"清静" 期。
2), 假如5秒内有20个以上联接到tcp端口80的连接,则最少在发觉最后一个数据5秒后阻止该IP地址浏览端口80,即在该阻止被撤销前有5秒的"清静" 期
给我感觉是,csf不仅有一面墙,墙后边,也有一张网,动态性防御力。觉得这一点做的比较好。
2,运行csf
[root@rudder ~]# /etc/init.d/csf start运作时打印出出许多信息内容,查询一下,是否有fatal,及其warning,要是没有。
vim /etc/csf/csf.conf //第二处如下所示 TESTING = "0" //TESTING由1改成0重新启动一下csf,[root@rudder ~]# csf -r,重启命令都和apf是一样的。二个根据iptables的防火墙,确实有很多地区类似。
3,运行lfd
[root@rudder ~]# /etc/init.d/lfd start这一控制模块,有一个很重要的作用,便是纪录下防御力的全过程。看来一下实际效果。
lfd log日志
194.28.70.132被阻止四次后,被永久性禁止访问了。随后我搜了一下,这一IP全自动被放在了csf.deny下边来到。
[root@rudder ~]# cat /etc/csf/csf.deny ############################################################################### # Copyright 2006-2013, Way to the Web Limited # URL: # Email: sales@waytotheweb.com ############################################################################### # The following IP addresses will be blocked in iptables # One IP address per line # CIDR addressing allowed with a quaded IP (e.g. 192.168.254.0/24) # Only list IP addresses, not domain names (they will be ignored) # # Note: If you add the text "do not delete" to the comments of an entry then # DENY_IP_LIMIT will ignore those entries and not remove them # # Advanced port ip filtering allowed with the following format # tcp/udp|in/out|s/d=port|s/d=ip # # See readme.txt for more information regarding advanced port filtering # 194.28.70.132 # lfd: (PERMBLOCK) 194.28.70.132 has had more than 4 temp blocks in the last 86400 secs - Mon Mar 11 04:19:14 2013 64.34.253.35 # lfd: (PERMBLOCK) 64.34.253.35 has had more than 4 temp blocks in the last 86400 secs - Mon Mar 11 21:30:09 2013从官在网上找了一些主要参数表明:
-h, --help Show this message //显示此信息 -l, --status List/Show iptables configuration //列举/显示iptables配置 -l6, --status6 List/Show ip6tables configuration //列出/显示ip6ables配置 -s, --start Start firewall rules //开启防火墙标准 -f, --stop Flush/Stop firewall rules (Note: lfd may restart csf) //消除/终止防火墙标准(留意:lfd很有可能重启csf) -r, --restart Restart firewall rules //再次开启防火墙标准 -q, --startq Quick restart (csf restarted by lfd) //快速重启(lfd重新启动csf) -sf, --startf Force CLI restart regardless of LF_QUICKSTART setting //不管不顾 LF_QUICKSTART设定,强制性CLI重启 -a, --add ip Allow an IP and add to /etc/csf/csf.allow //容许一个IP并加上至/etc/csf/csf.allow -ar, --addrm ip Remove an IP from /etc/csf/csf.allow and delete rule //从/etc/csf/csf.allow 删掉一个IP,删除标准 -d, --deny ip Deny an IP and add to /etc/csf/csf.deny //回绝一个IP并加上至/etc/csf/csf.deny -dr, --denyrm ip Unblock an IP and remove from /etc/csf/csf.deny //消除对一个IP的阻止并从/etc/csf/csf.deny里删掉 -df, --denyf Remove and unblock all entries in /etc/csf/csf.deny //删除并消除对/etc/csf/csf.deny里全部纪录的阻止 -g, --grep ip Search the iptables rules for an IP match (incl. CIDR) //查看与某IP配对的iptables标准(包含 CIDR) -t, --temp Displays the current list of temp IP entries and their //TTL表明现阶段临时性IP以及TTL的列表 -tr, --temprm ip Remove an IPs from the temp IP ban and allow list //从临时性严禁和容许IP列表删掉IPs -td, --tempdeny ip ttl [-p port] [-d direction] Add an IP to the temp IP ban list. ttl is how long to //加上一个IP至临时性严禁IP列表, blocks for (default:seconds, can use one suffix of h/m/d) //ttl是指端口的阻止時间(默认设置:秒,可以采用一个h/m/d后缀名) Optional port. Optional direction of block can be one of: //可选端口。阻止方位可以是下列随意一种:进到,传来或出入(默认设置:进到) in, out or inout (default:in) -ta, --tempallow ip ttl [-p port] [-d direction] Add an IP to the temp IP allow list (default:inout) //加上一个IP至临时性容许IP列表(默认设置:出入) -tf, --tempf Flush all IPs from the temp IP entries //消除全部临时性IP纪录 -cp, --cping PING all members in an lfd Cluster PINGlfd群的任何组员 -cd, --cdeny ip Deny an IP in a Cluster and add to /etc/csf/csf.deny //回绝群里的某一IP,并添加到/etc/csf/csf.deny -ca, --callow ip Allow an IP in a Cluster and add to /etc/csf/csf.allow //容许群里的某一IP,并添加到/etc/csf/csf.allow -cr, --crm ip Unblock an IP in a Cluster and remove from /etc/csf/csf.deny //消除对群里某一IP的阻拦,并从/etc/csf/csf.deny 删掉 -cc, --cconfig [name] [value] Change configuration option [name] to [value] in a Cluster //将群里的配备选项[name]改成[value] -cf, --cfile [file] Send [file] in a Cluster to /etc/csf/ //在群里推送[file]至/etc/csf/ -crs, --crestart Cluster restart csf and lfd //重启群csf和lfd -m, --mail [addr] Display Server Check in HTML or email to [addr] if present //在HTML表明网络服务器查验或邮件发送至[addr]地址,假如存有得话 -c, --check Check for updates to csf but do not upgrade //查验csf升级但不更新 -u, --update Check for updates to csf and upgrade if available //查验csf升级并更新,假如可以的话 -uf Force an update of csf //强制性更新csf -x, --disable Disable csf and lfd //禁止使用csf和lfd -e, --enable Enable csf and lfd if previously disabled //开启以前禁止使用的csf和lfd -v, --version Show csf version //表明csf版本号 您可以借助这种选项省时省力地操纵和查询csf。全部的csf环境变量都是在/etc/csf/ 里,包含: csf.conf - 关键环境变量,它有表明每一个选项主要用途的注解 csf.allow - 服务器防火墙自始至终容许利用的IP和CIDR地址列表 csf.deny - 服务器防火墙自始至终不允许根据的IP和CIDR地址列表 csf.ignore- lfd应忽视,而且发觉后不阻拦的IP和CIDR地址列表 csf.*ignore- 列举了lfd应忽视的文档,客户,IP地址的各类文档。实际参照每一个文档。 假如改动以上一切文档,您要重启csf才可以起效。假如您应用命令选项添加或回绝IP地址,csf会全自动起效。 csf.allow 和csf.deny都能够在列举的IP地址后做评论。该评论务必和IP地址在同一行,不然csf.deny的IP交替会将其删掉。 假如立即编写the csf.allow或csf.deny 文档,无论是从shell或WHM UI,您都需要在IP地址与评论中间插进#,如下所示: 添加 11.22.33.44 # 由于我不太喜欢他们 您还可以在应用the csf -a或csf -d指令时添加评论,但是并不是插进 # ,反而是: 添加csf -d 11.22.33.44 由于我不太喜欢他们转截请标明
创作者:深海雄鹰
地址: