zoukankan      html  css  js  c++  java

  • 记一次被DDOS,及流量清理方法

    起因

        最近和几个志同道合的朋友们在搞一个加速器的项目,目前是3台服务器,其中一个

        用于用户登录的储存用户信息,如果这个服务器崩了,用户将会无法登录。

        服务器都是阿里云的,百因必有果,这里的“因”就是做这类的同行,这里的“果”也就

        是住服务器遭受了DDOS。

    经过

        今天【2020/3/16】有用户反馈软件登录不上去(在6点多的时候),而此时的我正

        在小破站愉快的刷着鬼畜区,于是立马坐直。

        我先看的另外两台服务器,用一下命令可以判断服务器是否被攻击。

    netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

        看了一下基本没什么问题,于是猛然想到主服务器崩了才会无法登录,于是ssh连

        接主服务器,发现连接不上,我们那几个人的群里说流量激增,我就想:是不是攻

        击的行为触犯了阿里云的“黑洞”机制,看了一下,触发的阀值是500MB(有点小,可

        能是服务器配置的过,只有2核以上处理器才可以有1G以上,再加上信誉额度给你

        点),2.5小时无攻击的情况下才能解禁。没得办法,也没得钱去换高防IP。

        这里说一下,正常的流量清洗可以通过换高防IP,CDN等方式,如果再大了(比如

        1TB)就乖乖去做分布式吧。

        如果是攻击导致连接不上ssh,那就进阿里云把所有端口先暂时关闭,然后放行ssh

        端口(默认22),不管怎么样,先连上机子再说

        等到2.5小时过后,服务器就恢复了,貌似也没有新的攻击,于是赶紧登录主机部署

        流量攻击的防御策略,如下:

    1、安装DDoS deflate
wget http://www.inetbase.com/scripts/ddos/install.sh //下载DDoS deflate
chmod 0700 install.sh //添加权限
./install.sh //执行

2、配置DDoS deflate

下面是DDoS deflate的默认配置位于/usr/local/ddos/ddos.conf ,内容如下:

##### Paths of the script and other files
PROGDIR="/usr/local/ddos"
PROG="/usr/local/ddos/ddos.sh"
IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list" //IP地址白名单
CRON="/etc/cron.d/ddos.cron" //定时执行程序
APF="/etc/apf/apf"
IPT="/sbin/iptables"

##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with --cron
##### option so that the new frequency takes effect
FREQ=1 //检查时间间隔,默认1分钟

##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150 //最大连接数,超过这个数IP就会被屏蔽,一般默认即可

##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=1 //使用APF还是iptables。推荐使用iptables,将APF_BAN的值改为0即可。

##### KILL=0 (Bad IPs are'nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1 //是否屏蔽IP,默认即可

##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO="root" //当IP被屏蔽时给指定邮箱发送邮件,推荐使用,换成自己的邮箱即可

##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600 //禁用IP时间,默认600秒,可根据情况调整

如果 /usr/local/ddos/ddos.sh 统计不正确,可能是启用ipv6的缘故

# vi /usr/local/ddos/ddos.sh

        先这样防御着,硬防还是有效,有钱的尽量去购买硬件防火墙,注:Linux的iptables不能自动屏蔽,只能手动屏蔽。
  • 相关阅读:
    读github,deepfm,pytorch源码 记录
    郭盛华技术有多牛?外媒:稳坐亚洲第一
    新的TLS攻击让黑客可以对安全站点发起跨协议攻击
    Office发现4个安全漏洞,黑客可执行恶意代码
    拒绝百万年薪的郭盛华,如今自立门户,再创辉煌!
    谷歌浏览器帮助用户在安装前识别不受信任的扩展
    VM虚拟机发现严重的RCE漏洞!修复方法
    西门子新漏洞,黑客可远程执行恶意代码
    Nagios 网络监控软件曝出严重漏洞,可被黑客劫持
    Chrome浏览器附带一键式受损密码重置功能
  • 原文地址:https://www.cnblogs.com/bentok/p/12506981.html
Copyright © 2011-2022 走看看