當(dāng)apache站點(diǎn)受到嚴(yán)重的cc攻擊，我們可以用iptables來(lái)防止web服務(wù)器被CC攻擊，實(shí)現(xiàn)自動(dòng)屏蔽IP的功能。

1．系統(tǒng)要求

(1)LINUX 內(nèi)核版本：2.6.9-42ELsmp或2.6.9-55ELsmp（其它內(nèi)核版本需要重新編譯內(nèi)核，比較麻煩，但是也是可以實(shí)現(xiàn)的）。

(2)iptables版本：1.3.7

2. 安裝

安裝iptables1.3.7和系統(tǒng)內(nèi)核版本對(duì)應(yīng)的內(nèi)核模塊kernel-smp-modules-connlimit

3. 配置相應(yīng)的iptables規(guī)則

示例如下：

(1)控制單個(gè)IP的最大并發(fā)連接數(shù)

iptables -I INPUT -p tcp --dport 80 -m connlimit \

--connlimit-above 50 -j REJECT 

#允許單個(gè)IP的最大連接數(shù)為 30

(2)控制單個(gè)IP在一定的時(shí)間（比如60秒）內(nèi)允許新建立的連接數(shù)

iptables -A INPUT -p tcp --dport 80 -m recent \

--name BAD_HTTP_ACCESS --update --seconds 60 \

--hitcount 30 -j REJECT

iptables -A INPUT -p tcp --dport 80 -m recent \

--name BAD_HTTP_ACCESS --set -j ACCEPT

#單個(gè)IP在60秒內(nèi)只允許最多新建30個(gè)連接

4. 驗(yàn)證

（1）工具：flood_connect.c（用來(lái)模擬攻擊)

（2）查看效果：

使用

watch 'netstat -an | grep:21 | \ grep<模擬攻擊客戶機(jī)的IP>| wc -l'

實(shí)時(shí)查看模擬攻擊客戶機(jī)建立起來(lái)的連接數(shù)，

使用

watch 'iptables -L -n -v | \grep<模擬攻擊客戶機(jī)的IP>'

查看模擬攻擊客戶機(jī)被 DROP 的數(shù)據(jù)包數(shù)。

5．注意

為了增強(qiáng)iptables防止CC攻擊的能力，最好調(diào)整一下ipt_recent的參數(shù)如下：

#cat/etc/modprobe.conf

options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60

#記錄1000個(gè)IP地址，每個(gè)地址記錄60個(gè)數(shù)據(jù)包

#modprobe ipt_recent

【編輯推薦】

1. 使用iptables建置Linux 防火墻
2. 專(zhuān)題：DDoS攻擊防御與分析