应用层的FLOOD攻击，大家对于这样的攻击有什么办法？

站在岸上的鱼

今天访问我的论坛发现MYSQL居然连接错误，于是登陆到服务器上看，发现来自IP为219.133.48.220的在攻击论坛，以前相信大家主要碰到的是SYNFLOOD这样的协议层的攻击，FreeBSD不是很怕，而我今天我碰到的居然是应用层的攻击，向论坛不断的发送login登陆请求，让论坛不停的操作数据库，从而达到决绝服务的目的。Linux我倒可以写个脚本判断连接数量，每5分钟检查一次，然后把IP用iptable来拒绝掉，这样能在5分钟以内把对方档在防火墙外，但FreeBSD就让我不好怎么写脚本了。如果使用ipfw，ipfw规则有序列号的。如果用ipf，ipf不会关闭当前正在连接的IP，只有这个IP建立新的连接才会档住。效果更加不好，这样就让我为难了。不知道大家有什么好办法？

delphij

FreeBSD 5.4增加了一个叫tcpdrop的命令用于立即切断连接(这个命令需要内核的支持，因此对更早版本的FreeBSD不适用)。

另外我觉得应用层的问题用ipf, pf或ipfw这类工具去解决是不太合适的。如果你所用的论坛在login部分存在弱点，那么降低这部分的开销应该会起到更好的作用。

剑心通明

可以考虑改login.php了，限制次数，不让他一直尝试登陆

站在岸上的鱼

他不必重复登陆的，只要做登陆的动作就可以了。返回错误也不要紧，因为最重要的是让数据库做了大量的查询动作，从而达到拒绝服务。

剑心通明

把那个动作也限制行不，不管对错，每个ip一分钟内比如只能10次

站在岸上的鱼

问题解决了，使用下面的脚本解决。[修正，因为发现了一些小细节问题]

1. 
   
2. #!/bin/sh
   
3. 
   
4. #
   
5. #compile by iceblood 2005/07/10
   
6. #Web:http://www.nettf.net/
   
7. #
   
8. 
   
9. 
   
10. PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin
    
11. 
    
12. netstat -n | grep tcp4 | awk '{print $5}' | awk -F'.' '{print $1"."$2"."$3"."$4}' | sort | uniq -c | awk '$1>;30' | awk '{print "add deny tcp from "$2" to me 80"}' >;>; /etc/ipfw.dynamic
    
13. 
    
14. cat /etc/ipfw.dynamic | sort | uniq -i >; /etc/ipfw.rule.tmp
    
15. cp -f /etc/ipfw.rule.tmp /etc/ipfw.dynamic
    
16. cat /etc/ipfw.static >;>; /etc/ipfw.rule.tmp
    
17. 
    
18. OLDRULE=`md5 /etc/ipfw.rule | awk '{print $4}'`
    
19. NEWRULE=`md5 /etc/ipfw.rule.tmp | awk '{print $4}'`
    
20. 
    
21. if [ "$OLDRULE" != "$NEWRULE" ]; then
    
22.         mv -f /etc/ipfw.rule.tmp /etc/ipfw.rule
    
23.         sh /etc/rc.firewall
    
24.         TIME=`date '+%Y/%m/%d %H:%M:%S'`
    
25.         echo "$TIME Apply new ipfw rule!" >;>; /var/log/applyipfw.log
    
26. fi
    
27. 
    
28. rm -f /etc/ipfw.rule.tmp
    

复制代码

HonestQiao

login，加上一个验证码，这个不是动作最小，效果友好？

站在岸上的鱼

[quote]原帖由 "HonestQiao"]login，加上一个验证码，这个不是动作最小，效果友好？[/quote 发表：

加验证码就不用对数据库做任何操作了？
就算不对数据库操作，APACHE也不处理任何东西了？
呵呵……建议你多理解一下对方的攻击目的。

platinum

这个应用层的攻击确实不好拦截
只要对方的动作会造成对数据库的操作，就会消耗数据库的资源
包括登录、搜索等，都属于这种攻击

另外楼主说

以前相信大家主要碰到的是SYNFLOOD这样的协议层的攻击，FreeBSD不是很怕

能否解释一下？能承受多少量的攻击？

站在岸上的鱼

原帖由 "platinum" 发表：

能否解释一下？能承受多少量的攻击？

其实也不能说非常好的，毕竟到目前为止synflood这类的攻击是没有解决方法的。只是承受能力比其他操作系统要强一点。到底强多少，由于条件的限制我真的不知道。但比Linux/windows强是肯定的。（Redhat AS4可能也不错吧）