iptables 防DDOS攻擊方法

syn flood攻擊：SYN Flood是一種廣爲人知的DoS（拒絕服務攻擊）是DDoS（分佈式拒絕服務攻擊）的方式之一，這是一種利用TCP協議缺陷，發送大量僞造的TCP鏈接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內存不足）的攻擊方式（TCP協議的缺陷，因此沒辦法根除，除非重作TCP協議，目前不可能）。

CC攻擊（Challenge Collapsar）：CC是DDOS（分佈式拒絕服務）的一種，也是一種常見的網站攻擊方法，攻擊者經過代理服務器或者肉雞（被黑客黑的電腦）向受害主機不停地發大量數據包，形成對方服務器資源耗盡，一直到宕機崩潰。CC主要是用來攻擊頁面的，每一個人都有這樣的體驗：當一個網頁訪問的人數特別多的時候，打開網頁就慢了，CC就是模擬多個用戶（多少線程就是多少用戶）不停地進行訪問那些須要大量數據操做（就是須要大量CPU時間）的頁面，形成服務器資源的浪費，CPU長時間處於100%，永遠都有處理不完的鏈接直至就網絡擁塞，正常的訪問被停止。

正常原理是：

一、TCP三次握手，客戶端向服務器端發起鏈接的時候發送一個包含SYN標誌的TCP報文，SYN即同步（Synchronize），同步報文會指明客戶端使用的端口以及TCP鏈接的初始序號

二、服務器在收到客戶端的SYN報文後，將返回一個SYN+ACK的報文，表示客戶端的請求被接受，同時TCP序號被加一，ACK即確認（Acknowledgment），夾帶也發送一個SYN包給客戶端，而且服務器分配資源給該鏈接。

三、客戶端也返回一個確認報文ACK給服務器端，一樣TCP序列號被加一，到此一個TCP鏈接完成。

　　syn flood攻擊利用TCP三次握手的缺陷，在TCP鏈接的第三次握手中，當服務器收到客戶端的SYN包後而且返回客戶端ACK+SYN包，因爲客戶端是假冒IP，對方永遠收不到包且不會迴應第三個握手包。致使被攻擊服務器保持大量SYN_RECV狀態的「半鏈接」，而且會有重試默認5次迴應第二個握手       包，塞滿TCP等待鏈接隊列，資源耗盡（CPU滿負荷或內存不足），讓正常的業務請求鏈接不進來。一般SYN Flood會和ARP欺騙一塊兒使用，這樣就形成了SYN攻擊。

緩解攻擊的方法：

限制syn的請求速度（這個方式須要調節一個合理的速度值，否則會影響正經常使用戶的請求）

　　　　iptables -N syn-flood   （新建一條鏈）

　　　　iptables -A INPUT -p tcp --syn -j syn-flood 

　　　　iptables -A syn-flood  -p tcp -m limit --limit 2/s --limit-burst 50 -j RETURN

　　　　iptables -A syn-flood -j DROP

iptabes 其餘限制規則：            

#防護太多DOS攻擊鏈接,能夠容許外網每一個IP最多15個初始鏈接,超過的丟棄，第二條是在第一條的基礎上容許已經創建的鏈接和子鏈接容許

iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP  （--connlimit-mask 32爲主機掩碼，32即爲一個主機ip，也能夠是網段）
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

#抵禦DDOS ，容許外網最多24個初始鏈接,而後服務器每秒新增12個，訪問太多超過的丟棄，第二條是容許服務器內部每秒1個初始鏈接進行轉發
iptables -A INPUT  -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

#容許單個IP訪問服務器的80端口的最大鏈接數爲 20 

iptables -I INPUT -p tcp --dport 80 -m connlimit  --connlimit-above 20 -j REJECT 

 #對訪問本機的22端口進行限制，每一個ip每小時只能鏈接5次，超過的拒接，1小時候從新計算次數

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --rcheck --seconds 3600 --hitcount 5 -j DROP

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --set -j ACCEPT

#對多個ip進行封鎖

例：某服務器被CC攻擊，通過抓包或者一序列手段發現有一批IP是源攻擊ip，所以咱們須要封掉這些IP，若是用iptables一條一條加就麻煩些了。

 

#對TIME_WAIT的外部ip以及此對ip出現的次數經行求重排序。

netstat -ptan | grep TIME_WAIT | awk '{print $5}' | awk -F: '{print $1}' |sort |uniq -c | sort -n -r

 

#tcpdump 抓取100個包，訪問本機80的ip進行求重排序  只顯示前20個，數量多的ip可能爲攻擊源IP，咱們須要封掉它

tcpdump -tnn dst port 80 -c 100 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -n -r |head -20

 

#新建一個setname.txt文件，以以下格式加入這些ip （有多少個ip就多少行）

vim setname.txt

　　add setname xxx.xxx.xxx.xxx

 

#導入setname.txt文件到ipset集

ipset restore -f setname.txt

 

#查看是否導入成功 （成功的話會發現一個新ipset名爲 sername，且Members裏就是那些攻擊IP）

ipset list

 

#創建一條iptables規則，攔截這些攻擊ip訪問服務器80，也能夠直接禁止這些ip的全部訪問

iptables -I INPUT -m set --match-set setname src -p tcp --destination-port 80 -j DROP