文档章节

web服务器防止dos拒绝服务攻击

落叶刀
 落叶刀
发布于 2015/10/14 15:04
字数 536
阅读 221
收藏 4

服务器安全防护是非常重要的滴,mysql 3306 ,ftp 21 20 ,ssh 22端口等等都可以直接用iptables设置访问的权限,centos系统可以在etc/sysconfig/iptables中加入类似的语句。

-A INPUT -s 192.168.3.192/32 -p tcp -m tcp --dport 3306 -j ACCEPT

表示只有192.168.3.192这个ip可以访问服务器的3306端口等,这样就安全了许多。但是web服务由于要面向所有用户,所以这样就不合适。现在是时候祭出神器fail2ban的时候了。不过也只能防一般的小黑客。ddos估计一下就打死了。dos和ddos差别是一个是一台一个是多台。

安装

rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm

yum install fail2ban

配置

安装完成后,服务配置目录为:/etc/fail2ban
/etc/fail2ban/action.d                #动作文件夹,内含默认文件。iptables以及mail等动作配置
/etc/fail2ban/fail2ban.conf           #定义了fai2ban日志级别、日志位置及sock文件位置
/etc/fail2ban/filter.d                #条件文件夹,内含默认文件。过滤日志关键内容设置
/etc/fail2ban/jail.conf               #主要配置文件,模块化。主要设置启用ban动作的服务及动作阀值
/etc/rc.d/init.d/fail2ban             #启动脚本文件
3. vi /etc/fail2ban/fail2ban.conf
[Definition]
logtarget = /var/log/fail2ban.log   #我们需要做的就是把这行改成/var/log/fail2ban.log,方便用来记录日志信息

vim /etc/fail2ban/jail.conf里加入

[nginx-dos]
enabled = true
port = http,https
filter = nginx-bansniffer
action = iptables[name=bbs-nginx-ddos, port=http, protocol=tcp]
         sendmail-whois[name=bbs-nginx-ddos, dest=xxxx@xxx.com sender=root]
logpath = /data/nginx/logs/bbs.access.log#放日志的地方。
maxretry = 4000   #注意
findtime = 60
bantime = 3600

socket = /var/run/fail2ban/fail2ban.sock

然后创建文件/etc/fail2ban/filter.d/nginx-bansniffer.conf,内容如下:

[Definition]
failregex = <HOST> -.*- .*HTTP/1.* .* .*$
ignoreregex =

原理
fail2ban采集登陆日志调用iptables进行封ip,可以用国外一个大神hulk等工具进行测试。上面的配置maxretry = 4000,不单单是最大4000个ip才就封掉,而是要看清楚网页加载的时候fail2ban的日志中会产生多少了记录,sendemail和iptables要上下对齐。

© 著作权归作者所有

共有 人打赏支持
落叶刀
粉丝 38
博文 120
码字总数 103957
作品 2
浦东
运维
如何使用netstat命令验证DDOS入侵?

一般来说,服务器非常慢可能原因是多方面的,有可能是配置错误,脚本错误或者是一些奇诡的硬件。当然也有可能是有人对你的服务器进行 Dos (拒绝服务攻击)或者 DDOS (分布式拒绝服务攻击)。 ...

lwaif
2015/07/31
0
0
如何使用netstat命令辨别DDOS入侵

一般来说,服务器非常慢可能原因是多方面的,有可能是配置错误,脚本错误或者是一些奇诡的硬件。当然也有可能是有人对你的服务器进行 Dos (拒绝服务攻击)或者 DDOS (分布式拒绝服务攻击)。 ...

linuxprobe16
09/28
0
0
hping3进行DDOS攻击

在计算机行业,拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击是指不法分子企图让某机器或网络资源无法被预期的用户所使用。虽然执行DoS攻击的方式、动机和目标不一样,但通常包括设法临时性或无限...

技术花妞妞
2017/10/16
0
0
关于传说中的拒绝服务攻击CC

近来经常听到圈子里的朋友跟我提到CC这种攻击 见不到虚假ip 见不到特别大的流量 但无法进行正常连接 传说一条adsl 足以搞掂一台高性能服务器 据可靠消息 重庆电信的很多游戏服务器虽在黑洞之...

红薯
2009/05/05
238
0
拒绝服务攻击介绍zt

1、1拒绝服务攻击原理 DOS是指这样一种攻击手段:攻击者在一定时间内发送大量的服务请求来“轰炸”目的主机或其它网络设备,使其不能提供正常的服务。这种方式类似于某人通过不停拨打某个公司...

JavaGG
2009/05/05
463
0

没有更多内容

加载失败,请刷新页面

加载更多

linux 系统的运行级别

运行级别 运行级别 | 含义 0 关机 1 单用户模式,可以想象为windows 的安全模式,主要用于修复系统 2 不完全的命令模式,不含NFS服务 3 完全的命令行模式,就是标准的字符界面 4 系统保留 5 ...

Linux学习笔记
今天
2
0
学习设计模式——命令模式

任何模式的出现,都是为了解决一些特定的场景的耦合问题,以达到对修改封闭,对扩展开放的效果。命令模式也不例外: 命令模式是为了解决命令的请求者和命令的实现者之间的耦合关系。 解决了这...

江左煤郎
今天
3
0
字典树收集(非线程安全,后续做线程安全改进)

将500W个单词放进一个数据结构进行存储,然后进行快速比对,判断一个单词是不是这个500W单词之中的;来了一个单词前缀,给出500w个单词中有多少个单词是该前缀. 1、这个需求首先需要设计好数据结...

算法之名
昨天
14
0
GRASP设计模式

此文参考了这篇博客,建议读者阅读原文。 面向对象(Object-Oriented,OO)是当下软件开发的主流方法。在OO分析与设计中,我们首先从问题领域中抽象出领域模型,在领域模型中以适当的粒度归纳...

克虏伯
昨天
1
0
Coding and Paper Letter(四十)

资源整理。 1 Coding: 1.Tomislav Hengl撰写的非官方作者指南:Michael Gould•Wouter Gerritsma。 UnofficialGuide4Authors 2.R语言包rwrfhydro,社区贡献的工具箱,用于管理,分析和可视化...

胖胖雕
昨天
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部