本方案适合作最后的处理方案。
在服务器遭到DDOS攻击后,防火墙、高防盾或者其他的方案都已经失去了效力,这时运维人员无任何方案可以处理,并且只能任由DDOS攻击或关闭服务器时,该方案可以有限的抵挡大部分DDOS攻击流量,恢复大部分的生产。
该方案并未成熟。
这种方案公司用户越少,效果越好。
环境:目前的技术上对DDOS攻击没有太好的解决办法,理论上的肉机数量可以无限多,但服务器给的带宽不可能也不能应对所有的肉鸡的攻击,因此市面上多用高防的盾机来被动的接受来自肉鸡的流量,理论上在高性能的盾机都能被肉鸡击倒,因此这种方案算是一种十分被动的解决方案。很多人选择用封IP的方式来处理DDOS攻击,这在肉鸡数量上的情况下是一种不错的解决方案,但肉鸡数量一多,与不做任何操作并无二样。
原理:目前的服务器防火墙的策略基本上对业务端口的访问不作限制,在遭受DDOS攻击时,我们可以刻意封闭业务端口的访问,只允许指定IP的访问,至于指定IP,可以在平常用脚本收集,当然平常还是对业务端口的访问不作限制。
因为用户数量占少数,用户中肉鸡的数量也占极少数,因此会有少部分用户被误封的情况,但是远好于所有用户均无法访问。
举个栗子:
我用文件active_ip记录有效用户的IP。
用文件 filter保存正常时候的IPTABLES规则。
在正常业务时,用脚本ip_witev2.sh在后台执行记录访问80端口用户的IP保存在active_ip中。
wite_ip=`awk -F" " '{print $1}' $Active_path`
#!/bin/bash
#sync the IP in access log into Active_path.
Add_white()
{
access_ip=`tail -n 150 $Log_path | awk -F" " '{print $1}' | uniq`
wite_ip=`awk -F" " '{print $1}' $Active_path`
for i in $access_ip
do
singel=0
for k in `awk '{print}' $Active_path`
do
[ $i = $k ] && { singel=1; break; }
done
[ $singel -eq 0 ] && echo $i >> $Active_path
done
}
Log_path="/home/wwwlogs/access.log"
Active_path="/scripts/active_ip"
[ -f $Active_path ] || touch $Active_path
#judge whether there are new data in acess.log or not.
while true
do
[ -f $Log_path ] && size1=`stat $Log_path | awk -F" " '/Size/ {print $2}'` && break
sleep 0.1
done
[ `stat $Active_path | awk -F" " '/Size/ {print $2}'` -le 1 ] && Add_white
sleep 5
在遭受DDOS攻击(有个判断的过程及触发条件)时自动执行切换IPTABLES规则的脚本
ddos_filter.sh 封闭所有的IP
#!/bin/bash
iptables -D INPUT -t filter -p tcp --dport 80 -j ACCEPT
iptables -D OUTPUT -t filter -p tcp --sport 80 -j ACCEPT
activeip_path="/scripts/active_ip"
for i in `awk '{print}' $activeip_path`
do
iptables -A INPUT -t filter -s $i -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -t filter -d $i -p tcp --sport 80 -j ACCEPT
done
在DDOS攻击完毕时(这个触发方式是怎样的?)自动切换为原来的IPTABLES规则。
这就是方案的大致原理。
本人学问不足读书少,文章远远未完善,错误的地方和有改正的地方还请各位大佬批评指正,集思广益,这不正是开源的思想。