日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

DDoS的全稱是Distributed Denial of Service，即”分布式拒絕服務攻擊”，是指擊者利用大量“肉雞”對攻擊目標發動大量的正?；蚍钦Ｕ埱蟆⒑谋M目標主機資源或網絡資源，從而使被攻擊的主機不能為合法用戶提供服務。

DDOS攻擊的本質是： 利用木桶原理，尋找利用系統應用的瓶頸；阻塞和耗盡；當前問題：用戶的帶寬小于攻擊的規模，噪聲訪問帶寬成為木桶的短板。

可以參考下面的例子理解下DDOS攻擊。 1）某飯店可以容納100人同時就餐，某日有個商家惡意競爭，雇傭了200人來這個飯店坐著不吃不喝，導致飯店滿滿當當無法正常營業。（DDOS攻擊成功） 2）老板當即大怒，派人把不吃不喝影響正常營業的人全都轟了出去，且不再讓他們進來搗亂，飯店恢復了正常營業。（添加規則和黑名單進行DDOS防御，防御成功） 3）主動攻擊的商家心存不滿，這次請了五千人逐批次來搗亂，導致該飯店再次無法正常營業。（增加DDOS流量，改變攻擊方式） 4）飯店把那些搗亂的人轟出去只后，另一批接踵而來。此時老板將飯店營業規模擴大，該飯店可同時容納1萬人就餐，5000人同時來搗亂飯店營業也不會受到影響。（增加硬防與其抗衡）

DDOS攻擊只不過是一個概稱，其下有各種攻擊方式，比如:”CC攻擊、SYN攻擊、NTP攻擊、TCP攻擊、DNS攻擊等等”，現在DDOS發展變得越來越可怕，NTP服務放大攻擊漸漸成為主流了，這意味著可以將每秒的攻擊流量放大幾百倍，比如每秒1G的SYN碎片攻擊換成NTP放大攻擊，就成為了200G或者更多。

順便介紹下NTP服務放大攻擊

什么是NTP服務？ 網絡時間協議NTP（Network Time Protocol）是用于互聯網中時間同步的標準互聯網協議。NTP服務器通過NTP服務向網絡上的計算機或其他設備提供標準的授時服務，以保證這些服務系統的時鐘能夠同步。通常NTP服務使用UDP 123端口提供標準服務。

什么是NTP服務放大攻擊？ 標準NTP 服務提供了一個 monlist查詢功能，也被稱為MON_GETLIST，該功能主要用于監控 NTP 服務器的服務狀況，當用戶端向NTP服務提交monlist查詢時，NTP 服務器會向查詢端返回與NTP 服務器進行過時間同步的最后 600 個客戶端的 IP，響應包按照每 6 個 IP 進行分割，最多有 100 個響應包。由于NTP服務使用UDP協議，攻擊者可以偽造源發地址向NTP服務進行monlist查詢，這將導致NTP服務器向被偽造的目標發送大量的UDP數據包，理論上這種惡意導向的攻擊流量可以放大到偽造查詢流量的100倍。

NTP是用UDP傳輸的，所以可以偽造源地址。NTP協議中有一類查詢指令，用短小的指令即可令服務器返回很長的信息，放大攻擊就是基于這類指令的。 比如： 小明以吳一帆的名義問李雷”我們班有哪些人？” ,李雷就回答吳一帆說”有誰誰誰和誰誰誰……”””(幾百字),那么小明就以8個字的成本，令吳一帆收到了幾百字的信息，所以叫做放大攻擊。 (也就是說：對方服務器是個話嘮，你以小明的身份問他一個問題，他回答小明一千句，結果小明崩潰了）

網絡上一般NTP服務器都有很大的帶寬，攻擊者可能只需要1Mbps的上傳帶寬欺騙NTP服務器，即可給目標服務器帶來幾百上千Mbps的攻擊流量，達到借刀殺人的效果。 所以現在新的ntpd已經可以通過配置文件，關掉除時間同步以外的查詢功能。而時間同步的查詢和返回大小相同(沒記錯的話)，所以沒辦法用作放大攻擊。

如何查看是否遭受NTP放大攻擊？ 如果網絡上檢測到大流量的UDP 123端口的數據，就可以確認正在遭受此類攻擊。

如何防范NTP放大攻擊？ 1)升級服務程序版本 將系統中的NTP服務升級到 ntpd 4.2.7p26 或之后的版本，因為 ntpd 4.2.7p26 版本后，服務默認是關閉monlist查詢功能的。

2)關閉服務的monlist查詢功能： 首先查詢問題主機的REQ_MON_GETLIST和REQ_MON_GETLIST_1請求是否可用。具體操作方法：

   # ntpq -c rv<localhost/remotehost>
   # ntpdc -c sysinfo<localhost/remotehost>
   # ntpdc -n -c monlist<localhost/remotehost>
123

如果上述功能可用，可嘗試通過修改ntp.conf文件解決問題，具體操作建議是在上述配置文件中增加下面的配置： IPV4: restrict default kod nomodify notrap nopeer noquery IPv6: restrict -6 default kod nomodify notrap nopeer noquery

允許發起時間同步的IP，與本服務器進行時間同步，但是不允許修改ntp服務信息，也不允許查詢服務器的狀態信息（如monlist）*/

另外，還可以配置限制訪問命令，如：

restrict default noquery #允許普通的請求者進行時間同步，但是不允許查詢ntp服務信息*/

修改并保存配置文件之后，請重啟ntpd服務。

近年來，一些重大的DDOS攻擊案例：

1）2000年2月，包括雅虎、CNN、亞馬遜、eBay、http://Buy.com、ZDNet，以及E*Trade和Datek等網站均遭受到了DDOS攻擊，并致使部分網站癱瘓。 2）2007年5月，愛沙尼亞三周內遭遇三輪DDOS攻擊,總統府、議會、幾乎全部政府部門、主要政黨、主要媒體和2家大銀行和通訊公司的網站均陷入癱瘓，為此北約頂級反網絡恐怖主義專家前往該國救援。 3）2009年519斷網事件導致南方六省運營商服務器全部崩潰，電信在南方六省的網絡基本癱瘓。2009年7月，韓國主要網站三天內遭遇三輪猛烈的DDOS攻擊，韓國宣布提前成立網絡司令部。 4）比較著名的案例還有有： 全球三大游戲平臺：暴雪戰網、Valve Steam和EA Origin遭到大規模DDoS攻擊，致使大批玩家無法登錄與進行游戲。隨后名為DERP的黑客組織聲稱對此次大規模的DDoS攻擊行動負責。

對于DDOS攻擊的簡單防護措施：

1）關閉不必要的服務和端口； 2）限制同一時間內打開的syn半連接數目； 3）縮短syn半連接的超時時間； 4）及時安裝系統補?。?5）禁止對主機非開放服務的訪問； 6）啟用防火墻防DDOS屬性。硬件防火墻價格比較昂貴，可以考慮利用linux系統本身提供的防火墻功能來防御。 7）另外也可以安裝相應的防護軟件，這里強烈建議安裝安全狗軟件,防護性能不錯，并且免費。 8）購買DDOS防御產品，比如阿里云盾的DDOS防御中的高防IP，這個使用起來，效果也很給力。

接下來說下Linux系統下預防DDOS攻擊的操作：

Linux服務器在運行過程中可能會受到黑客攻擊，常見的攻擊方式有SYN，DDOS等。 通過更換IP，查找被攻擊的站點可能避開攻擊，但是中斷服務的時間比較長。比較徹底的解決方法是添置硬件防火墻，但是硬件防火墻價格比較昂貴?？梢钥紤]利用Linux系統本身提供的防火墻功能來防御。 SYN攻擊是利用TCP/IP協議3次握手的原理，發送大量的建立連接的網絡包，但不實際建立連接，最終導致被攻擊服務器的網絡隊列被占滿，無法被正常用戶訪問。 Linux內核提供了若干SYN相關的配置，加大SYN隊列長度可以容納更多等待連接的網絡連接數，打開SYN Cookie功能可以阻止部分SYN攻擊，降低重試次數也有一定效果。 而DDOS則是通過使網絡過載來干擾甚至阻斷正常的網絡通訊，通過向服務器提交大量請求，使服務器超負荷，阻斷某一用戶訪問服務器阻斷某服務與特定系統或個人的通訊。可以通過配置防火墻或者使用腳本工具來防范DDOS攻擊；

1）優化幾個sysctl內核參數：

[root@test3-237 ~]# vim /etc/sysctl.conf
......
net.ipv4.tcp_max_syn_backlog = 4096      #表示SYN隊列的長度，加大隊列長度可以容納更多等待連接的網絡連接數
net.ipv4.tcp_syncookies = 1              #表示開啟SYN Cookies功能。當出現SYN等待隊列溢出時，啟用cookies來處理，可防范少量SYN攻擊，默認為0，表示關閉，1表示打開；
net.ipv4.tcp_synack_retries = 2          #下面這兩行表示定義SYN重試次數
net.ipv4.tcp_syn_retries = 2

#提高TCP連接能力
net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.tcp_sack = 0     #打開tcp_sack功能，1表示"關閉"，0表示"打開"

[root@test3-237 ~]# sysctl -p    #使上面配置生效
12345678910111213

2）利用linux系統自帶iptables防火墻進行預防：

先查看服務器上連接web端口（比如80端口）的哪個ip是最多的，如果發現可疑ip，就果斷將其斷開與服務器連接

查看80端口的連接情況

[root@test3-237 ~]# netstat -an | grep ":80" | grep ESTABLISHED
1

下面的命令表示獲取服務器上ESTABLISHED連接數最多的前10個ip，排除了內部ip段192.168|127.0開頭的。

[root@test3-237 ~]# /bin/netstat -na|grep ESTABLISHED|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -rn|head -10|grep -v -E '192.168|127.0'
      4001 140.205.140.205
      2388 124.65.197.154
      1807 111.205.224.15
      18 10.51.58.16
  .......
123456

將上面140.205.140.205、124.65.197.154、111.205.224.15的這三個ip的包丟棄

[root@test3-237 ~]# iptables -A INPUT -s 140.205.140.205 -p tcp -j DROP
[root@test3-237 ~]# iptables -A INPUT -s 124.65.197.154 -p tcp -j DROP
[root@test3-237 ~]# iptables -A INPUT -s 111.205.224.15 -p tcp -j DROP
[root@test3-237 ~]# service iptables save
[root@test3-237 ~]# service iptables restart
12345

不過上面的方法對于偽造源IP地址的SYN FLOOD攻擊就無效了！

其他預防攻擊的設置

防止同步包洪水（Sync Flood），縮短SYN-Timeout時間：

[root@test3-237 ~]# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
[root@test3-237 ~]# iptables -A INPUT -i eth0 -m limit --limit 1/sec --limit-burst 5 -j ACCEPT
12

其中： –limit 1/s 限制syn并發數每秒1次，可以根據自己的需要修改防止各種端口掃描

[root@test3-237 ~]# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
1

Ping洪水攻擊（Ping of Death）

[root@test3-237 ~]# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
1

控制單個IP的最大并發連接數。 如下設置表示：允許單個IP的最大連接數為 30

[root@test3-237 ~]# iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j REJECT
1

控制單個IP在一定的時間（比如60秒）內允許新建立的連接數。 如下設置表示：單個IP在60秒內只允許最多新建30個連接

[root@test3-237 ~]# iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30 -j REJECT
[root@test3-237 ~]# iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT
12

如果出現報錯： iptables: Invalid argument. Run `dmesg’ for more information.

解決辦法： 增加 xt_recent模塊的參數值即可，默認是20

[root@test3-237 ~]# cat /sys/module/xt_recent/parameters/ip_pkt_list_tot
20
[root@test3-237 ~]# echo 50 > /sys/module/xt_recent/parameters/ip_pkt_list_tot
[root@test3-237 ~]# cat /sys/module/xt_recent/parameters/ip_pkt_list_tot
50
12345

禁止ping（即禁止從外部ping這臺服務器）：

[root@test3-237 ~]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
1

用iptables屏蔽IP（如下禁止213.8.166.237連接本機的80端口）

[root@test3-237 ~]# iptables -A INPUT -s 213.8.166.227 -p tcp -m tcp -m state --state NEW --dport 80 --syn -j REJECT
1

允許某ip連接（如下允許13.78.66.27連接本機的80端口）

[root@test3-237 ~]# iptables -A INPUT -s 13.78.66.27 -p tcp -m tcp -m state --state NEW --dport 80 --syn -j ACCEPT
1

3）使用DDoS deflate腳本自動屏蔽攻擊ip

DDoS deflate是一款免費的用來防御和減輕DDoS攻擊的腳本。它通過netstat監測跟蹤創建大量網絡連接的IP地址，在檢測到某個結點超過預設的限制時，該程序會通過APF或IPTABLES禁止或阻擋這些IP. DDoS deflate其實是一個Shell腳本，使用netstat和iptables工具，對那些鏈接數過多的IP進行封鎖，能有效防止通用的惡意掃描器，但它并不是真正有效的DDoS防御工具。

DDoS deflate工作過程描述： 同一個IP鏈接到服務器的連接數到達設置的伐值后，所有超過伐值的IP將被屏蔽，同時把屏蔽的IP寫入ignore.ip.list文件中，與此同時會在tmp中生成一個腳本文件，這個腳本文件馬上被執行，但是一 運行就遇到sleep預設的秒，當睡眠了這么多的時間后，解除被屏蔽的IP，同時把之前寫入ignore.ip.list文件中的這個被封鎖的IP刪除，然后刪除臨時生成的文件。 一個事實：如果被屏蔽的IP手工解屏蔽，那么如果這個IP繼續產生攻擊，那么腳本將不會再次屏蔽它（因為加入到了ignore.ip.list），直到在預設的時間之后才能起作用，加入到了ignore.ip.list中的 IP是檢測的時候忽略的IP。可以把IP寫入到這個文件以避免這些IP被堵塞，已經堵塞了的IP也會加入到ignore.ip.list中，但堵塞了預定時間后會從它之中刪除。

如何確認是否受到DDOS攻擊？

[root@test3-237 ~]# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
      1 Address
      1 servers)
      2 103.10.86.5
      4 117.36.231.253
      4 19.62.46.24
      6 29.140.22.18
      8 220.181.161.131   
      2911 167.215.42.88
123456789

每個IP幾個、十幾個或幾十個連接數都還算比較正常，如果像上面成百上千肯定就不正常了。比如上面的167.215.42.88，這個ip的連接有2911個！這個看起來就很像是被攻擊了！

下面就說下通過DDoS deflate腳本來自動屏蔽DDOS攻擊的ip 1）下載DDoS deflate安裝腳本，并執行安裝。

[root@test3-237 ~]# wget http://www.inetbase.com/scripts/ddos/install.sh
[root@test3-237 ~]# chmod 0700 install.sh
[root@test3-237 ~]# ./install.sh
123

卸載DDos default的操作如下：

# wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
# chmod 0700 uninstall.ddos
# ./uninstall.ddos
123

2）配置DDoS deflate下面是DDoS deflate的默認配置位于/usr/local/ddos/ddos.conf ，內容如下：

[root@test3-237 ~]# cat /usr/local/ddos/ddos.conf
##### Paths of the script and other files
PROGDIR="/usr/local/ddos"
PROG="/usr/local/ddos/ddos.sh"
IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list"         //IP地址白名單
CRON="/etc/cron.d/ddos.cron"                            //定時執行程序
APF="/etc/apf/apf"
IPT="/sbin/iptables"

##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with --cron
#####          option so that the new frequency takes effect
FREQ=1                        //檢查時間間隔，默認1分鐘。設置檢測時間間隔，默認是分鐘，由于系統使用crontab功能，最小單位是分鐘

##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150             //最大連接數，超過這個數IP就會被屏蔽，一般默認即可。默認是150，這是一個經驗值，如果服務器性能比較高，可以設置200以上，以避免誤殺

##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=0                      //使用APF還是iptables屏蔽IP。推薦使用iptables,將APF_BAN的值改為0即可。設置為1表示使用APF，如果使用APF則需要先安裝，centos中默認就沒有安裝

##### KILL=0 (Bad IPs are'nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1                        //是否屏蔽IP，默認即可

##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO="root"              //當IP被屏蔽時給指定郵箱發送郵件，推薦使用，換成自己的郵箱即可。如果不希望發送郵件，設置為空，即EMAIL_TO=""

##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600              //禁用IP時間（鎖定ip的時間），默認600秒，可根據情況調整
12345678910111213141516171819202122232425262728293031

需要注意的是： DDos default安裝完成后在/usr/local/ddos目錄下產生了ddos.conf、ddos.sh、ignore.ip.list和LICENSE這四個文件，其中： ddos.conf是配置文件，ddos.sh是一個Shell文件，ignore.ip.list是存放忽略IP的文件，LICENSE是版權聲明文件，安裝完成后還在/etc/cron.d/下生產了ddos.cron文件，內容如下：

[root@test3-237 ~]# cat /etc/cron.d/ddos.cron
SHELL=/bin/sh
0-59/1 * * * * root /usr/local/ddos/ddos.sh >/dev/null 2>&1
123

意思是每隔一分鐘執行一下/usr/local/ddos/ddos.sh，這個腳本是關鍵！ 這個cron任務是依賴ddos.conf文件中的NO_OF_CONNECTIONS變量產生的，如果修改了此值，可以通過運行如下命令更新（實際也是在安裝是運行了如下命令）：

[root@test3-237 ~]# /usr/local/ddos/ddos.sh -c
Stopping crond:                                            [  OK  ]
Starting crond:                                            [  OK  ]
Stopping crond:                                            [  OK  ]
Starting crond:                                            [  OK  ]

或者
[root@test3-237 ~]# /usr/local/ddos/ddos.sh --cron
Stopping crond:                                            [  OK  ]
Starting crond:                                            [  OK  ]
Stopping crond:                                            [  OK  ]
Starting crond:                                            [  OK  ]
123456789101112

3）DDos default選項

# /usr/local/ddos/ddos.sh -h       #查看選項
# /usr/local/ddos/ddos.sh -k n     #殺掉連接數大于n的連接。n默認為配置文件的NO_OF_CONNECTIONS
12

比如：

  [root@test3-237 ~]# /usr/local/ddos/ddos.sh -k 150
      2 103.110.186.75
      1 servers)
      1 Address
# /usr/local/ddos/ddos.sh -c       #按照配置文件創建一個執行計劃。使得ddos.conf文件配置后生效
12345

4）分享一個防御DDOS攻擊的shell腳本

Linux服務器中一旦受到DDOS的攻擊（比如IDC機房服務器被攻擊了，關機，拔網線，降流量），目前只能通過封IP來源來暫時解決。 然而IP來源變化多端，光靠手工來添加簡直是惡夢，所以還是想辦法寫個shell腳本來定時處理，這才是比較靠譜的辦法。

[root@test3-237 ~]# mkdir /root/bin
[root@test1-237 ~]# cat /root/bin/dropip.sh    //此腳本自動提取攻擊ip，然后自動屏蔽
#!/bin/bash
/bin/netstat -na|grep ESTABLISHED|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -rn|head -10|grep -v -E '192.168|127.0'|awk '{if ($2!=null && $1>4) {print $2}}'>/tmp/dropip
for i in $(cat /tmp/dropip)
do
/sbin/iptables -A INPUT -s $i -j DROP
echo “$i kill at `date`”>>/var/log/ddos
done
123456789

以上腳本中最重要的是第二行，即： 獲取ESTABLISHED連接數最多的前10個ip并寫入臨時文件/tmp/dropip,排除了內部ip段192.168|127.0開頭的.通過for循環將dropip里面的ip通過iptables全部drop掉，然后寫到日志文件/var/log/ddos。

給腳本添加執行權限

[root@test1-237 ~]# chmod +x /root/bin/dropip.sh
1

添加到計劃任務，每分鐘執行一次

[root@test1-237 ~]#crontab -e
*/1 * * * * /root/bin/dropip.sh
12

下面是針對連接數屏蔽IP

#!/bin/sh 
/bin/netstat -ant |grep 80 |awk '{print $5}' |awk -F":" '{print $1}' |sort |uniq -c |sort -rn |grep -v -E '192.168|127.0' |awk '{if ($2!=null && $1>50)}' > /root/drop_ip.txt 
for i in `cat /root/drop_ip.txt` 
do 
/sbin/iptables -I INPUT -s $i -j DROP; 
done
123456

5）Linux下使用safedog（安全狗）軟件防御DDOS攻擊:

[root@test3-237 ~]# setenforce 0     //關閉selinux，否則不能安裝成功
[root@test3-237 ~]# getenforce       //永久關閉selinux需要配置/etc/sysconfig/selinux文件，并重啟機器生效??！
Permissive
123

安裝（Nginx版）安全狗（safedog）

[root@test3-237 ~]# wget http://safedog.cn/safedogwz_linux_Nginx64.tar.gz
[root@test3-237 ~]# tar -zvxf safedogwz_linux_Nginx64.tar.gz
[root@test3-237 ~]# cd safedogwz_linux_Nginx64
[root@test3-237 safedogwz_linux_Nginx64]# chmod 755 install.py
[root@bastion-IDC safedogwz_linux_Nginx64]# ls
install_files  install.py  uninstall.py
[root@test3-237 safedogwz_linux_Nginx64]# ./install.py -A          //卸載安全狗就用uninstall.py
.......
  step 3.5, start service...                                                                      [ok]
  step 3.6, save safedog install info...                                                          [ok]
   Tips:
  (1)Run the command to setup Server Defense Module: sdui
  (2)Explore more features by tApping the command to join Cloud Management Center (fuyun.safedog.cn) with your account:  sdcloud -h

If you need any help about installation,please tap the command: ./install.py -h
Install Completely!
12345678910111213141516

溫馨提示： 1）安裝完成后，記得一定要重新啟動Nginx服務，網站安全狗軟件即可生效。 2）運行時,安裝腳本默認將自動獲取Nginx服務的安裝路徑；若自動獲取失敗則將提示輸入Nginx服務的安裝路徑（絕對路徑），需要根據所安裝的Nginx的目錄，填寫真實的安裝路徑。 3）當出現提示：Are you sure to uninstall?[y/n]時，輸入y