讨论一下如何防范SYN-FLOOD攻击的问题

llzqq

1. 
   
2. 安装防DDOS攻击软件
   
3. 
   
4. # tar -zxvf mod_dosevasive.1.9.tar.gz
   
5. # cd mod_dosevasive
   
6. # /usr/local/apache/bin/apxs -iac mod_dosevasive20.c
   
7. # vim /usr/local/apache/conf/httpd.conf
   
8. 
   
9. <IfModule mod_dosevasive.c>;
   
10. DOSHashTableSize                3097
    
11. DOSPageCount                        3
    
12. DOSSiteCount                        50
    
13. DOSPageInterval                        1
    
14. DOSSiteInterval                        1
    
15. DOSBlockingPeriod                30
    
16. </IfModule>;
    

复制代码

haohaoo

[quote]原帖由 "llzqq"][/quote 发表：

这个好象没什么作用，基于apache1的模块

llzqq

这个是 FOR APACHE2的

platinum

[quote]原帖由 "haohaoo"]把你shell的思想说出来行不？[/quote 发表：

是这样的，当我们发现被DOS攻击以后怎么办呢？
如何确定是否被DOS攻击呢？
netstat -an，查看ESTABLISHED数，然后禁掉该IP

SHELL思想也类似，写一个SHELL，让CROND每分钟运行一次
SHELL去检查ESTABLISHED数量，然后统计某ESTABLISHED数量最高的IP
然后向iptables里-I INPUT一条-s IP --p tcp --dport PORT -j DROP

也就是说，让防火墙具有自动更改规则的动态机制

这个想法可行吗？

shiqiaoliang

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT  应该是可以的。

xinxin_ee

“SHELL去检查ESTABLISHED数量，然后统计某ESTABLISHED数量最高的IP
然后向iptables里-I INPUT一条-s IP --p tcp --dport PORT -j DROP ”

不行把，每分钟都这样做，那不是很快屏蔽很多网站？？！！

platinum

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
这句是有的，否则防火墙不允许其他人连接，我的默认规则是DROP，所以必须加这个，问题是已经加了，但不能防止SYN攻击

haohaoo

原帖由 "platinum" 发表：

是这样的，当我们发现被DOS攻击以后怎么办呢？
如何确定是否被DOS攻击呢？
netstat -an，查看ESTABLISHED数，然后禁掉该IP

SHELL思想也类似，写一个SHELL，让CROND每分钟运行一次
SHELL去检查ESTABLISHED数量..........

ESTABLISHED数多少的时候就砍掉呢？

platinum

我想，这是一个阀值问题，可以自己根据服务器的性能配置

同一个IP地址，超过20个ESTABLISHED，就应该可以封了吧，谁会同时连那么多！

好好先生

原帖由 "platinum" 发表：
我想，这是一个阀值问题，可以自己根据服务器的性能配置

同一个IP地址，超过20个ESTABLISHED，就应该可以封了吧，谁会同时连那么多！

假如用专线然后用的代理服务器上网呢？对外都是同一个ip吧……但是同事们上同一个网站的话，就是同一个ip。