CC攻擊防禦策略詳解,效果顯著

2021-08-18 17:46:49 字數 2431 閱讀 2987

眾所周知cc攻擊是ddos攻擊的一種變相攻擊模式,攻擊者利用網路傳輸協議中的三次握手漏洞產生大量的無效鏈結使資源被耗盡,最終導致服務不能正常執行而達到攻擊目的。

所以我們要對症下藥,我們這片文章採取的策越就是封掉產生過多鏈結的ip,達到防禦目的

這裡我們推薦一款防止ddos攻擊的軟體ddos-deflate,安裝使用方式如下:

(一)安裝ddos-deflate

wget 


.com/scripts/ddos/install.sh
(2)安裝 ddos-deflate

./install.sh
…..下面是安裝過程,很快….

installing dos-deflate 0.6

downloading source files………done

creating cron to run script every minute…..(default setting)

….下面是發布協議….

….這樣 ddos-deflate,就安裝好了

(二)配置和使用

(1)了解 ddos-deflate 軟體的檔案分布

ddos-deflate 安裝好之後,預設全部在 /usr/local/ddos/ 目錄下

檔案說明:

ddos.conf – ddos-deflate 的配置檔案,其中配置防止ddos時的各種行為

ddos.sh – ddos-deflate 的主程式,使用shell編寫的,整個程式的功能模組

ignore.ip.list – 白名單,該檔案中的ip超過設定的連線數時,也不被 ddos-deflate 阻止

license – ddos-deflate 程式的發布協議

(2)配置 ddos.conf

progdir=」/usr/local/ddos」 #目錄

prog=」/usr/local/ddos/ddos.sh」 #指令碼路徑

ignore_ip_list=」/usr/local/ddos/ignore.ip.list」#白名單

cron=」/etc/cron.d/ddos.cron」 #/計畫任務路徑 預設是每分鐘執行一次ddos.sh

apf=」/etc/apf/apf」 //apf防火牆路徑

ipt=」/sbin/iptables」 //防火牆位址

freq=1 #ddos-deflate通過linux的計畫任務執行,預設為每分鐘一次

no_of_connections=150 #定義單個ip達到多少連線時規定為這是一次ddos攻擊

apf_ban=0 #這裡為 「0」,表示使用iptables,而不是apf

kill=1 #是否阻止被定義為ddos攻擊的ip,「1」為阻止,「0」為不阻止

email_to=」***@***.com」 #通知郵箱位址

ban_period=600 #在黑名單中待多少秒

(3)使用ddos.sh

使用「-h」選項顯示該命令的提供的選項和功能簡介

因為安裝的時候預設就執行了: ./ddos –cron 了,所以我們什麼也不需要做了

./ddos.sh -h
options:

-h | –help: show this help screen

-c | –cron: create cron

job to run this script regularly (default 1 mins)

-k | –kill: block the offending ip ****** more

than n connections

(4)測試防ddos攻擊效果

no_of_connections=3 #這裡為了方便測試,設定為3。生產環境下,幾十到幾百都可以理解為正常,上千肯定就是不正常了,除非是應用內部各個伺服器之間的通訊

通過一台固定ip的機器ssh連線該伺服器,當連線到超過3甚至更多時,不會立刻顯示連不上,因為ddos.sh預設一分鐘執行一次,當過不到一分鐘時,會發現連線掉了,檢視部署了防ddos軟體的伺服器上可以看到iptables的策略中多了:

drop all – 31.210.16.29.broad.cs.gd.dynamic.163data.com.cn anywhere

說明確實生效了,當10分鐘後,iptables上這條策略會被取消的

(5)關於如何檢視單個ip的連線數目可以通過如下命令檢視,依次排列:

netstat -na|grep established|awk 『'|awk -f: ''|awk -f: '』|sort|uniq -c|sort -r -n

…………..

40 127.0.0.1

1 121.9.252.28

1 173.117.140.69

DDos攻擊防禦策略

鏈路頻寬 增加頻寬,大部分極少ddos防禦策略的文章裡似乎很少提及這一點,但確實以上所有防禦的基礎,例如第二層次的cdn實際上就是拼接頻寬,很多大型企業選擇自建cdn,本質上就是紫荊增加頻寬的行為.處理cdn之外,要保障dc出口的多isp鏈路,備份鏈路,到下層交換機的寬頻都不存在明顯的單點瓶頸,否則...

Linux 防禦CC攻擊

什麼是cc攻擊 cc攻擊的原理就是攻擊者控制某些主機不停地發大量資料報給對方伺服器造成伺服器資源耗盡,一直到宕機崩潰。cc主要是用來攻擊頁面的,每個人都有這樣的體驗 當乙個網頁訪問的人數特別多的時候,開啟網頁就慢了,cc就是模擬多個使用者 多少執行緒就是多少使用者 不停地進行訪問那些需要大量資料操作...

Nginx防禦CC攻擊

cc攻擊針對的是伺服器上面的記憶體和cpu資源,因此通常會找到一些比較高消耗的介面,例如search.php之類的需要大量sql查詢的介面。因此,明白了這一點,我們就很好防禦了,主要是針對單個ip位址的連線數和請求php檔案的密度來控制的。我們主要用到的是nginx中提供的兩個limit模組 0 0...