23.2.1 如何查是否受到了DDOS攻擊

DDOS概述：分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。

1、編寫查看DDOS攻擊的腳本內容

[root@zmedu63 ~]# vim ddos-test.sh #寫入以下內容
#!/bin/bash
netstat -ntu | awk ‘{print $5}’ | cut -d: -f4 | sort | uniq -c | sort -n
[root@zmedu63 ~]# chmod +x ddos-test.sh
注釋：
#!/bin/bash
netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
截取外網IP和端口 截取外網的IP以：為分隔符 ｜排序 ｜ 排除相同的記錄 ｜ 排序并統計

注：這個腳本在不同的機器上執行時，因為 print $5 取得的結果不一樣，所以需要根據實際情況，改變cut -d: -f1 中fn的值。 如果-f1 不行，就使用f4
cut -d: -f1 #以冒號為分隔符，取第一列的值。

2、模擬DDOS攻擊

[root@zmedu63 ~]# ab -n 100 -c 10 http://192.168.1.63/index.html #開始攻擊
[root@zmedu63 ~]# ./ddos-test.sh #查看已經建立的網絡連接數
1 42.99.254.162
1 Address
1 servers)
2 192.168.1.106
2 192.168.1.23
102 192.168.1.63

23.2.2 實戰：使用DDoS deflate 解決服務器被DDOS攻擊的問題

1、防止DDOS攻擊的方法

方法一： 手動寫iptables 規則，ip地址數比較少時
方法二: 檢測到訪問次數比較多的ip地址后，自動添加iptables規則。如fail2ban或linux+DDoS deflate

2、DDoS deflate介紹

DDoS deflate是一款免費的用來防御和減輕DDoS攻擊的腳本。它通過netstat監測跟蹤創建大量網絡連接的IP地址，在檢測到某個結點超過預設的限制時，該程序會通過APF或IPTABLES禁止或阻擋這些IP。
方法三：加大帶寬，增加服務器，使用CDN技術

3、檢測是否有DDOS攻擊

執行：
[root@zmedu63 ~]# netstat -ntu | awk ‘{print $5}’ | cut -d: -f4 | sort | uniq -c | sort -n
如果發現某個IP連接數據上百的鏈接，說明就有DDOS攻擊。

下面開始安裝DDos deflate

4、安裝DDoS deflate

[root@zmedu63 ~]# wget http://www.inetbase.com/scripts/ddos/install.sh
下載DDoS deflate，保證可以上網
[root@zmedu63 ~]# chmod 700 install.sh #添加權限
[root@zmedu63 ~]#./install.sh #執行
Installing DOS-Deflate 0.6
Downloading source files…done
Creating cron to run script every minute…(Default setting)…done
Installation has completed.
Config file is at /usr/local/ddos/ddos.conf
Please send in your comments and/or suggestions to zaf@vsnl.com
###################################################
###############################################

“Artistic License”

Preamble

The intent of this document is to state the conditions under which a

Package may be copied, such that the Copyright Holder maintains some

q 輸入q 退出。

5、查看安裝后的配置文件

DDoS deflate的默認配置位于/usr/local/ddos/ddos.conf ，內容如下：
[root@zmedu63 ~]# vim /usr/local/ddos/ddos.conf

Paths of the script and other files

PROGDIR="/usr/local/ddos"
PROG="/usr/local/ddos/ddos.sh" #要執行的DDOS腳本
IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list" #IP地址白名單，注：在這個文件中IP不受控制。
CRON="/etc/cron.d/ddos.cron" #定時執行程序

6、查看定時任務

[root@zmedu63 ~]# cat /etc/cron.d/ddos.cron
SHELL=/bin/sh
0-59/1 * * * * root /usr/local/ddos/ddos.sh >/dev/null 2>&1

23.2.3 使用DDos deflate

實戰場景： 如果1分鐘內，一個IP地址對我們服務器訪問150次以上，就認為發生DDOS，使用iptables把這個IP地址自動屏蔽掉。

1、修改配置文件

[root@zmedu63 ~]# vim /usr/local/ddos/ddos.conf
配置文件中的注釋如下：

frequency in minutes for running the script

Caution: Every time this setting is changed, run the script with --cron

option so that the new frequency takes effect

FREQ=1 #檢查時間間隔，默認1分鐘

How many connections define a bad IP? Indicate that below.

NO_OF_CONNECTIONS=150 #最大連接數，超過這個數IP就會被屏蔽，一般默認即可

APF_BAN=1 (Make sure your APF version is atleast 0.96)

APF_BAN=0 (Uses iptables for banning ips instead of APF)

APF_BAN=1 #使用APF還是iptables。推薦使用iptables,將APF_BAN的值改為0即可。
改：19 APF_BAN=1
為：19 APF_BAN=0

KILL=0 (Bad IPs are’nt banned, good for interactive execution of script)

KILL=1 (Recommended setting)

KILL=1 #是否屏蔽IP，默認即可

An email is sent to the following address when an IP is banned.

Blank would suppress sending of mails

EMAIL_TO=kill@zmedu.com #當IP被屏蔽時給指定郵箱發送郵件報警，換成自己的郵箱即可

Number of seconds the banned ip should remain in blacklist.

BAN_PERIOD=600 #禁用IP時間，默認600秒，可根據情況調整
用戶可根據給默認配置文件加上的注釋提示內容，修改配置文件。
注：安裝后，不需要手動運行任何軟件，因為有crontab計劃任務，每過一分鐘，會行自動執行一次。檢查是否有不正常的訪問量

2、 在zmedu64上模擬DDOS

[root@zmedu64 ~]# ab -n 1000 -c 10 http://192.168.0.107/index.html
等待一分鐘后，在xudgod63查看結果，多了一條規則
[root@zmedu63 ~]# iptables -L -n #可以看到已經把192.168.1.64給拒絕了。
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all – 192.168.1.64 0.0.0.0/0

3、卸載軟件

卸載軟件的本質： 刪除軟件安裝后的文件
安裝軟件的本質：把你寫的軟件文件，復制對應的目錄下
[root@zmedu63 ~]# wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
[root@zmedu63 ~]# chmod +x uninstall.ddos
[root@zmedu63 ~]# ./uninstall.ddos

總結

以上是生活随笔為你收集整理的DDoS deflate 解决服务器被DDOS攻击的问题的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。