应付DOS攻击的设想

sunisland

处在系统的层面，这里我想讨论的是DOS，对DDOS我无可奈何，因为就目前的\r\n情况看来，如果不是十分的必要，很少有人随随便便就去发动一次并不算简单的\r\n大规模DDOS攻击的，所以困扰个人建站大多数基本上是DOS攻击。\r\n首先，假定机器和系统足够健壮，带宽足够。\r\n将保持连接最低可设为20秒，这样如果有活动的IP被命中，可以被很快的释放。\r\n限制半连接数在100以下，(视规模而定)时间设为1\r\nDOS攻击有个规律，就是单位时间内会有大量相同IP的到来，而攻击程序本身\r\n的特性又决定了他不能自己判断攻击的有效性，于是我们可以通过监视单位IP\r\n的连接请求数来阻塞他们，从而进一步达到我们的目的。\r\n如果相同源IP请求数大于我们设定的值(如5-10)就向iptables添加规则DROP\r\n掉，当规则超过一定的条数或时间，就按先进先出的规则删掉，使规则不至于\r\n滚的太大，系统的开销也很小。这样可以将站点受到的影响尽量降到最低限度。\r\n以前我用手工操作过的，毕竟太慢，效果随操作波动，谁能帮忙写个shell就好\r\n了，我们就还可以做进一步的实验。\r\n\r\n因为TCP本身的原因，DOS也算是个历史问题了吧，遗漏或不正确的地方欢迎\r\n大家指正和补充。

fsb

可以用UDP的方法来浪费带宽的吧.

JohnBull

我发包的时候可以随机伪造IP啊

i2era

[quote]原帖由 \"JohnBull\"]我发包的时候可以随机伪造IP啊[/quote 发表：\n\r\n9494，如果伪造的ip是你的gateway or dns呢？

xyhey

DROP掉你的GATEWAY和DNS？？？你狠！

sunisland

对于带宽不够的朋友肯定是不行的，所以前面我已经说明了这个前提的。\r\n正是由于来访伪IP的不确定性----如果是不存在的，那肯定就只能是半连接了，其\r\n连接数便被限制在100以内了，如果不幸命中了某个存在的机器，便会建立大量\r\n的有效连接，所以连接保持时间设定20秒也是为了尽快释放资源，实验证明，除\r\n了刚开始的20秒无法连接，以后资源就开始陆续释放，就很容易访问了，只是刚\r\n开始建立连接的时候大约需要1秒钟左右，估计是在半连接的排队范围内，正式建\r\n立连接后速度就没有任何影响了。\r\n\r\n关于GATEWAY和DNS的问题，我想问题不大的，因为命中的几率本来就微乎其\r\n微，另外如果我们将添加删除规则的轮循时间进行相应的限定，应该是可行的，\r\n就算被命中，耽误的时间也极为有限，这个没有经过试验，只是推断。有能力的\r\n朋友不妨写个脚本试验一下，这样答案就可水落石出了，呵呵。

laban

woxiangxue \r\nqq:32581011

jacobzhu

iptables -A INPUT -m fuzzy --lower-limit 100 --upper-limit 1000 -j REJECT \r\n\r\n\r\n\r\nBelow the 100 pps (packets per second) rate, the filter is inactive. \r\nBetween 100 and 1000 pps the mean acceptance rate drops from 100% (when we are at 100 pps) to 1% (when we are at 1000 pps). \r\nAbove 1000 pps the acceptance rate keeps constant at 1%.

seabillow

问：-m fuzzy  是什么意思啊？