DOS-Deflate:幫助您有效減輕 DOS ***傷害

DOS-Deflate 是由Zaf開發的腳本,最初是在MediaLayer服務器上使用,以協助管理員解決拒絕服務***(DOS)問題.如何防範拒絕服務***一直是服務器管理 員研究的一個課題,尤爲是使用VPS(虛擬服務器)的管理員.因爲是在虛擬的環境下,既很差要求服務商增長硬件防火牆,又由於自己虛擬的架構致使了一些內 核模塊(如:connlimit)沒法安裝.VPS或者服務器要徹底防止拒絕服務***是不太現實的,依靠某個模塊只能減輕***產生的影響,並不能真正杜絕 ***.服務器性能及網絡頻寬決定了防止***的實施難易度.

在這裏推薦您使用DOS-Deflate腳本.經過APF添加動態過濾.腳本安裝簡單,防範***的效果也很不錯.可是須要注意,安裝前需肯定Advanced Policy Firewall (APF)已經在你的系統安裝並運行良好.不然將不會起到封禁***IP的做用.

安裝step by step
1.以root用戶登陸終端.

2.下載安裝腳本

#cd /usr/local/src
#wget http://www.inetbase.com/scripts/ddos/install.sh
#sh ./install.sh

複製代碼

安裝完成以後.能夠在/usr/local/ddos/路徑找到配置文件和sh腳本.配置十分簡單,你只需編輯/usr/local/ddos/ddos.conf文件.

參數配置示範:

##### Paths of the script and other files
PROGDIR="/usr/local/ddos"
PROG="/usr/local/ddos/ddos.sh"
IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list"  # 白名單.若有反向代理,注意添加本機地址和本機外網IP地址,防止提供反向代理的主機被斷定爲***.
CRON="/etc/cron.d/ddos.cron"
APF="/etc/apf/apf"
IPT="/sbin/iptables"

##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with --cron
##### option so that the new frequency takes effect
FREQ=1

##### How many connections define a bad IP? Indicate that below.  # 單IP發起鏈接數閥值,不建議設置過低.
NO_OF_CONNECTIONS=150

##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=1

##### KILL=0 (Bad IPs are'nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1

##### An email is sent to the following address when an IP is banned.   # 當單IP發起的鏈接數超過閥值後,將發郵件給指定的收件人.
##### Blank would suppress sending of mails
EMAIL_TO="root"

##### Number of seconds the banned ip should remain in blacklist.   # 設置被擋IP多少秒後移出黑名單.
BAN_PERIOD=600

此外還要修改一個地方/usr/local/ddos/ddos.sh的第134行.註釋掉這行,前面加'#'號
#echo $CURR_LINE_IP >> $IGNORE_IP_LIST
（我測試在咱們的vps上設置這個可能形成mysql的錯誤）

複製代碼

模擬發起dos***後,系統管理員將收到郵件,告知過去1分鐘禁止了哪些IP和其發起的鏈接數.