VPS 防御DDOS攻击 - 防御/减轻DDOS攻击 Linux下防御DDOS攻击 DDoS deflate 程序, 流量, 台电脑, Linux

一键安装脚本：

1. wget http://vps.idc866.com/ddos.sh;sh ddos.sh

复制代码

操作：

1为安装，  0为删除。   

安装中间会显示一个协议，按Q退出查看。
执行后无需再去修改配制文件，即自动生效

   注：配制中间链接数限制为50， 适合VPS。         
如果独服请自行修改大，免得封禁蜘蛛。如设100或更高。

更多详细请看以下的说明：



注：12年7月  一VPS被大量的刷连接了，  
      一个IP都可一秒就刷到几百，上千个，刷同一个页。
      而且是  大量的IP， 这个 DDoS deflate  封都封不完。（他1分钟起效的）
      把禁止访问时间设为10小时，都还有大量IP来刷。也检测也没用代理IP。
      最后使用iptables 规则限制IP每秒产生新连接数15个来解决。
      产生20个都防不住，限制产生5个自己打不开论坛站，限制10个打开感觉慢。
      不过，这种限制，对蜘蛛有影响。

注：14年3月  一服务器被大量的刷连接了，  
      大量IP来刷，这个 DDoS deflate  封都封不完。（他1分钟起效的）
      因有的IP连接数未达到 封禁值，无法起效。

最后使用：
1、查看网站日志，查看他们是刷哪一个页。
2、把这一页查看源码，保存为html真静态文件传上去，由他们刷。
3、虽然真静态无负载，但流量占用达几M/s，
    最后查看日志，用php把日志中刷此页的IP全列出来，生成iptables 脚本
    批量执行一下，就全封了。
------------------------------------------------------------



VPS 防御DDOS攻击 -  防御/减轻DDOS攻击  

Linux下防御DDOS攻击 DDoS deflate  



使用 DDoS deflate  来防御攻击，效果还是有些的。并且不占资源。

他是判断同一IP的连接数，再来禁止此IP连接。免费空间2

如果大规模同时攻击你服。那么可能抗不住。因为大规模攻击时，一攻就挂了。

这程序还没反应过来，和执行禁止。这程序是 每分钟执行一次，不是每秒执行。

人家有组织大规模攻击时，都是多台电脑同时发起。攻击挂掉不需要在1分钟。

小流量攻击用这软件或许效果有，如1分钟内没把服攻击挂，这程序就自动执行禁止。

如果，再配合论坛的防CC 开关、FFS Firewall V1.3 等，抗攻击效果更好。

防CC攻击，FFS Firewall v1.3_应用程序防火墙 抵抗DDOS攻击的能力






一、安装：    （以root帐户登录SSH，操作以下三部）

1. wget http://www.inetbase.com/scripts/ddos/install.sh
   
2. chmod 0700 install.sh
   
3. ./install.sh

复制代码

         

1、下载DDoS  deflate
2、添加权限
3、执行安装

执行安装后，一下就安装完成了。  就会提示协议，按Q退出。

安装完后，就自动执行了程序的，并且放在了启动项里，VPS启动后也自动执行。


注：使用了CDN的，将无效。  因为CDN都是以127.0.0.1 IP访问。
     使用了 LNMPA 的也将无效。 也是以 127.0.0.1 来访问。
     如果使用反代加速的话，就要注意来源IP。或许加入白名单。

      国外那个 cloudflare CDN加速 其实很抗攻击的。 别让人家知道真实IP即可。
     用了 cloudflare CDN 后，来访问IP都会变成 加州CDN的IP，而且很多的IP段，
     所以，使用了CDN后，最好别使用 这个防DDOS的程序，
     或是把CDN的IP都添加到白名单中。不然CDN的IP被禁止后，就会出现CDN的错误页



   



二、使用：

一般VPS，都带有 iptables ，此程序可设定使用 iptables 来禁止 IP。 国外免费空间

安装后，再修改： /usr/local/ddos/ddos.conf  这个配制文件里的：

APF_BAN=1     改为   APF_BAN=0   
# 意思是使用 iptables 来防御

NO_OF_CONNECTIONS=150
# 意思是同一IP超过150个链接，就阻止。     （我们VPS设为50，一般访问足足够）         

BAN_PERIOD=600
# 意思是阻止时间为 600秒               （我们设为9600，阻止时间更长点160分）


以上参数，可自行设置。

可在SSH里直接使用 vi命令来编辑 ddos.conf 文件。   

或是 WinSCP 软件登录SSH，找到那个文件直接编辑

注：修改后保存，就生效，无需重启VPS。







三、检测是否工作正常、测试：

本贴隐藏内容，需登录、回复后，即可浏览!

其它： （这个不用操作，只是收集）
a、/usr/local/sbin/ddos  --h     查看参数信息

b、/usr/local/ddos/ddos.sh --cron   这个是安装时默认就执行了。






四、如何防御，防御就会有邮件，怎么看。

1、SS里使用以下命令查看：
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

就会列出VPS上，当前访问IP，和链接数。
如果链接数超过150个，就会在下一分钟后被 iptables 禁止访问10分钟。

注：使用刚安装的DDOS：/usr/local/sbin/ddos   也同样可查看当前链接数。



2、查看防御 后的邮件提醒：

如果你修改了配制文件：/usr/local/ddos/ddos.conf    中的
EMAIL_TO="root"   //当IP被屏蔽时给指定邮箱发送邮件，推荐使用，换成自己的邮箱即可

换成了你的邮箱。如果你VPS支持 sendmail 发信，那就会发到你邮箱里。
查看是否支持sendmail，可用执行一下看：/etc/init.d/sendmail
或是自己上传一个PHP探针，下面一个邮箱检测，测试一下发信看。




3、查看root 的邮件提醒

如果未改动 "root"。就会你每次登录 root 时会提醒：you have new mail

或是 ：You have new mail in /var/spool/mail/root

你有新的邮件提醒，可使用命令：mail      后，再选择序号，来查看邮件

或是直接SFTP里下载/var/spool/mail/root 这个文件，用写字板打开查看。







五、相关文件说明：
      
ddos.conf -- DDoS-Deflate 的配置文件，其中配置防止ddos时的各种行为
ddos.sh   -- DDoS-Deflate 的主程序，使用shell编写的，整个程序的功能模块
ignore.ip.list -- 白名单，该文件中的ip超过设定的连接数时，也不被 DDoS-Deflate 阻止
LICENSE   -- DDoS-Deflate 程序的发布协议 免费PHP空间

这几个文件，都在 /usr/local/ddos/  目录下

/usr/local/sbin/ddos   这个是自动执行 也就是ddos.sh






六、如何卸载脚本：

1. wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
   
2. chmod 0700 uninstall.ddos
   
3. ./uninstall.ddos

复制代码

如果不想要他，也可以直接去删除他的几个文件也是可以的。






七、相关问题：

执行检测时，有些系统会提示：    $CONF not found.

解决方法是：

本贴隐藏内容，需登录、回复后，即可浏览!

注：在几VPS上安装没问题。但在KVM的VPS上装的Debian系统，检测时出现了这问题
      最后在这找到解决：http://ubuntuforums.org/showthread.php?t=1224448




    此DDOS防护软件，很检测超连接数的，再使用 iptables  来阻止访问。
    在阻止的同时，将会把IP写到 ignore.ip.list 文件中，
    过了设定禁止时间后，再从此文件中去除添加的IP，也从 iptables 规则中去掉IP，

    但是：发现有些VPS时间过后，无法从 iptables 中去掉IP，也就是说临时长久禁止IP了。
            也 不从  ignore.ip.list  文件里去掉IP，
           这样就会造成：VPS一但重启后iptables加的IP消息，
           但这些在ignore.ip.list文件里的IP将成是白名单，永远不会封了。



如还有其它问题，请跟贴。

收集： http://www.vpser.net/security/ddos-deflate.html


前言

互联网如同现实社会一样充满钩心斗角，网站被DDOS也成为站长最头疼的事。在没有硬防的情况下，寻找软件代替是最直接的方法，比如用iptables，但是iptables不能在自动屏蔽，只能手动屏蔽。今天要说的就是一款能够自动屏蔽DDOS攻击者IP的软件：DDoS deflate。

DDoS deflate介绍
DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本。它通过netstat监测跟踪创建大量网络连接的IP地址，在检测到某个结点超过预设的限 制时，该程序会通过APF或IPTABLES禁止或阻挡这些IP.
DDoS deflate官方网站：http://deflate.medialayer.com/


如何确认是否受到DDOS攻击？


执行：
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

执行后，将会显示服务器上所有的每个IP多少个连接数。

以下是我自己用VPS测试的结果：
li88-99:~# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
1 114.226.9.132
1 174.129.237.157
1 58.60.118.142
1 Address
1 servers)
2 118.26.131.78
3 123.125.1.202
3 220.248.43.119
4 117.36.231.253
4 119.162.46.124
6 219.140.232.128
8 220.181.61.31
2311 67.215.242.196

每个IP几个、十几个或几十个连接数都还算比较正常，如果像上面成百上千肯定就不正常了。


1、安装DDoS deflate
wget http://www.inetbase.com/scripts/ddos/install.sh   //下载DDoS  deflate
chmod 0700 install.sh    //添加权限
./install.sh             //执行




2、配置DDoS deflate

下面是DDoS deflate的默认配置位于/usr/local/ddos/ddos.conf ，内容如下：

##### Paths of the script and other files
PROGDIR="/usr/local/ddos"
PROG="/usr/local/ddos/ddos.sh"
IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list"  //IP地址白名单
CRON="/etc/cron.d/ddos.cron"    //定时执行程序
APF="/etc/apf/apf"
IPT="/sbin/iptables"

##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with --cron
#####          option so that the new frequency takes effect
FREQ=1   //检查时间间隔，默认1分钟

##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150     //最大连接数，超过这个数IP就会被屏蔽，一般默认即可

##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=1        //使用APF还是iptables。推荐使用iptables,将APF_BAN的值改为0即可。

##### KILL=0 (Bad IPs are'nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1   //是否屏蔽IP，默认即可

##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO="root"   //当IP被屏蔽时给指定邮箱发送邮件，推荐使用，换成自己的邮箱即可

##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600    //禁用IP时间，默认600秒，可根据情况调整


用户可根据给默认配置文件加上的注释提示内容，修改配置文件。

查看/usr/local/ddos/ddos.sh文件的第117行

netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr > $BAD_IP_LIST

修改为以下代码即可！

netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sed -n ‘/[0-9]/p’ | sort | uniq -c | sort -nr > $BAD_IP_LIST

喜欢折腾的可以用Web压力测试软件测试一下效果，相信DDoS deflate还是能给你的VPS或服务器抵御一部分DDOS攻击，给你的网站更多的保护。

再顶个贴，做回复！

用下..........

太好了，谢谢。

这个占内存不？

我就是来看看

回复 3# idc886


    我把root已经修改为自己的邮箱了，可是，还是收不到邮件，只是每次登录SSH才能用mail命令看，我vps是支持sendmail的，奇怪了。另外，邮件查看了能删除吗？

回复 8# 龙腾宇内


    因为你还没有达到 150个链接数，把值设小再测试。

现在更新了贴中的测试内容，照着操作去。

回复 6# 76546468


    基本不占资源。

有用吗？
有用c大，就不会被ddcc一个星期了

回复 11# kaka


    能防一点是一点。加了这个总比没加好。   


人家的还是服，所以一直不倒。

VPS的话，大牛来了，几秒搞死。

回复 11# kaka


    还有。为啥  当时他们不试试 cloudflare 性能。  

据说  强抗攻！

谢谢啦  好东西啊

学海无涯！！！！

http://22lou.net

回复一下吧！

kabaja

顶顶顶顶顶

顶楼主啦..希望楼主多发精品好帖啦.....