Centos 配置iptables简单防DDOS和cc,centosiptables

Centos 配置iptables简单防DDOS和cc,centosiptables

由于最近为了上线的项目做好安全，害怕被对手有心搞，有必要简单防下DDOS和CC，公司资金的问题，现在由运维写个脚本来顶着用，只能简单防

一、查看IP连接数

[root@localhost shell]# cat iptables-cc-ip

#!/bin/bash

num=100 //设置最高连接的值

IP=`netstat -an |grep ^tcp.*:80|egrep -v 'LISTEN|127.0.0.1'|awk -F"[ ]+|[:]" '{print $6}'|sort|uniq -c|sort -rn|awk '{if ($1>$num){print $2}}'`

for i in $IP

do

echo $i

done

获得结果可以重定向一个文件里保存出来

二、查看SYN连接

[root@localhost shell]# cat iptables-cc-syn

#!/bin/bash

conn=`netstat -an | grep SYN | awk '{print $5}' | awk -F: '{print $1}' | sort | uniq -c | sort -nr |head -n20`//查找出前二十个连接最多的

for i in $conn

do

echo $i

done

同样，获得结果可以重定向一个文件里保存出来

三、查看访问日志

[root@localhost shell]# cat log-cc

#!/bin/bash

access=`cat /var/log/httpd/access.log|awk '{print $1}'|sort|uniq -c|sort -nr|head -n20`

for i in $access

do

echo $i

done

不用说，获得结果可以重定向一个文件里保存出来

四、分析

根据以上的结果看看哪个IP访问比较多（这里要注意，并非访问多的IP就是攻击的IP，有些也会正常访问，不注意分析的话会封了正常访问IP，所以还得跟后面两方面的因素一起考虑、排查），SYN连接数比较（一般SYN最多的就是攻击IP），访问日志记录最多，然后一个一个分析，最后，也是最重要的，要看些这些IP访问是否是正常的，这个根据日志可以看得出来（要耐心、细心查看）

五、分析后的动作

排查出来的IP，要立刻封掉

iptables -I INPUT -sIP（排查出来的IP）--dport80-j DROP

service iptables save

六、总结

DDOS和CC攻击就是拒绝服务和非法访问，让被攻击目标处理能力的海量数据包消耗可用系统，带宽资源，致使网络服务瘫痪的一种攻击手段，最好是使用CDN和黑洞防火墙来防，前者是带宽方面抗得起，后者是判断后引用这些流量到黑洞