使用DDOS deflate抵御少量DDOS攻击

DDoS-Deflate是一款非常小巧的防御和减轻DDoS攻击的工具，它可以通过监测netstat来跟踪来创建大量互联网连接的IP地址信息，通过APF或IPTABLES禁止或阻档这些非常IP地址。

工作过程描述：

同一个IP链接到服务器的连接数到达设置的伐值后，所有超过伐值的IP将被屏蔽，同时把屏蔽的IP写入ignore.ip.list文件中，与此同时会在tmp中生成一个脚本文件，这个脚本文件马上被执行，但是一运行就遇到sleep 预设的秒，当睡眠了这么多的时间后，解除被屏蔽的IP，同时把之前写入ignore.ip.list文件中的这个被封锁的IP删除，然后删除临时生成的文件。

一个事实：如果被屏蔽的IP手工解屏蔽，那么如果这个IP继续产生攻击，那么脚本将不会再次屏蔽它（因为加入到了ignore.ip.list），直到在预设的时间之后才能起作用，加入到了ignore.ip.list中的IP是检测的时候忽略的IP。可以把IP写入到这个文件以避免这些IP被堵塞，已经堵塞了的IP也会加入到ignore.ip.list中，但堵塞了预定时间后会从它之中删除。

在tmp文件中生成的解除屏蔽IP的脚本文件内容如下：

cat  /tmp/unban.XXXXXXXX#!/bin/shsleep 600/sbin/iptables -D INPUT -s 10.0.10.55 -j DROPgrep -v --file=/tmp/unban.3RIsCVkG /usr/local/ddos/ignore.ip.list > /tmp/unban.VPYmNEnbmv /tmp/unban.VPYmNEnb /usr/local/ddos/ignore.ip.listrm -f /tmp/unban.uqPU5tGKrm -f /tmp/unban.3RIsCVkGrm -f /tmp/unban.VPYmNEnb

另外值得一提的是，使用iptables进行屏蔽时，使用的是-I 参数，规则会被放置在规则列表的最前面（这一点很重要）。

-----------------------------------------------------------------------------

我们可以使用netstat命令查看当前系统连接数据的统计，是否有受到DDOS攻击

# netstat -ntu | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

# netstat -ntu | awk '{print $5}' | cut -d: -f1 |sed -n '/[0-9]/p'| sort | uniq -c | sort -nr

#  watch -n 1 'echo "show table http-in" | socat unix:/var/run/haproxy.stats - |grep "157.55.39" '

1、安装DDoS deflate

wget http://www.inetbase.com/scripts/ddos/install.sh

chmod 0700 install.sh

./install.sh

自动生成定时任务，默认每分钟执行一次

#  cat /etc/cron.d/ddos.cron 

SHELL=/bin/sh

0-59/1 * * * * root /usr/local/ddos/ddos.sh >/dev/null 2>&1

这个cron任务的执行频率是依赖ddos.conf文件中的FREQ变量产生的，如果修改了此值，可以通过运行如下命令更新（实际也是在安装时运行了如下命令）：

/usr/local/ddos/ddos.sh -c  或  /usr/local/ddos/ddos.sh –cron

2、配置DDoS deflate

下面是DDoS deflate的默认配置位于/usr/local/ddos/ddos.conf ，内容如下：

　　##### Paths of the script and other files

　　PROGDIR=“/usr/local/ddos”

　　PROG=“/usr/local/ddos/ddos.sh”

　　IGNORE_IP_LIST=“/usr/local/ddos/ignore.ip.list”    #相当于IP地址白名单和当前时段被检测出访问异常的IP地址的合集

　　CRON=“/etc/cron.d/ddos.cron”   #定时执行程序

　　APF=“/etc/apf/apf”

　　IPT=“/sbin/iptables”

　　##### frequency in minutes for running the script

　　##### Caution： Every time this setting is changed， run the script with –cron

　　##### option so that the new frequency takes effect

　　FREQ=1  #检查时间间隔，默认1分钟

　　##### How many connections define a bad IP？ Indicate that below.

NO_OF_CONNECTIONS=150   #最大连接数，超过这个数IP就会被屏蔽，一般默认即可

　　##### APF_BAN=1 （Make sure your APF version is atleast 0.96）

　　##### APF_BAN=0 （Uses iptables for banning ips instead of APF）

APF_BAN=0   #使用APF还是iptables。推荐使用iptables，将APF_BAN的值改为0即可。

　　##### KILL=0 （Bad IPs are’nt banned， good for interactive execution of script）

　　##### KILL=1 （Recommended setting）

　　KILL=1   #是否屏蔽IP，默认即可

　　##### An email is sent to the following address when an IP is banned.

　　##### Blank would suppress sending of mails

　　EMAIL_TO=“root”   #当IP被屏蔽时给指定邮箱发送邮件，推荐使用，换成自己的邮箱即可（如果不希望发送邮件，设置为空）

　　##### Number of seconds the banned ip should remain in blacklist.

　　BAN_PERIOD=600  #禁用IP时间，默认600秒，可根据情况调整

　　用户可根据给默认配置文件加上的注释提示内容，修改配置文件。

　  修改/usr/local/ddos/ddos.sh文件的第117行：

　　netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr > $BAD_IP_LIST

　　修改为以下代码即可！

　　netstat -ntu | awk '{print $5}' | cut -d: -f1 | sed -n '/[0-9]/p' | sort | uniq -c | sort -nr  > $BAD_IP_LIST

ddos.sh --help显示帮助，比如如果要即时干掉当前超过N个连接的IP，使用sh ddos.sh -k 150, sh ddos.sh -c 创建cron job

用户也可以用Web压力测试软件ab测试一下效果，相信DDoS deflate还是能给你的VPS或服务器抵御一部分DDOS攻击，给你的网站更多的保护。

ab命令安装：#yum install httpd-tools  -y

3、卸载DDoS deflate

wget http://www.inetbase.com/scripts/ddos/uninstall.ddos

chmod 0700 uninstall.ddos

./uninstall.ddos

参考资料：http://www.myhack58.com/Article/48/66/2013/41214.htm

-----------------------------------------------------------------------------------------------------------

参考补充：

防范DDOS攻击脚本：

#防止SYN攻击 轻量级预防

iptables -N syn-flood

iptables -A INPUT -p tcp --syn -j syn-flood

iptables -I syn-flood -p tcp -m limit --limit3/s --limit-burst6-j RETURN

iptables -A syn-flood -j REJECT

#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃

iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above15-j DROP

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

#用Iptables抵御DDOS (参数与上相同)

iptables -A INPUT  -p tcp --syn -m limit --limit12/s --limit-burst24-j ACCEPT

iptables -A FORWARD -p tcp --syn -m limit --limit1/s -j ACCEPT

iptables防DDOS攻击脚本：

#!/bin/sh## define some vars

MAX_TOTAL_SYN_RECV="1000"MAX_PER_IP_SYN_RECV="20"MARK="SYN_RECV"PORT="80"LOGFILE="/var/log/netstat_$MARK-$PORT"LOGFILE_IP="/var/log/netstat_connect_ip.log"DROP_IP_LOG="/var/log/netstat_syn_drop_ip.log"## iptables default rules: accept normailly packages and drop baleful SYN* packages

iptables -F -t filter

iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP

iptables -A INPUT -p ALL -m state --state INVALID -j DROP

iptables -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT

## initializeif[ -z $MARK ];thenMARK="LISTEN"fiif[ -z $PORT ];thenSPORT="tcp"elseSPORT=":$PORT"fi######################## end

## save the results of command netstat to specifal filenetstat -atun|grep$MARK|grep$SPORT2>/dev/null>$LOGFILE

REPEAT_CONNECT_IP=`less$LOGFILE|awk'{print $5}'|cut-f1 -d':'|sort|uniq-d |tee> $LOGFILE_IP`if[ -f $DROP_IP_LOG ];thenforiin`less$DROP_IP_LOG`;doiptables -A INPUT -p ALL -s $i -j DROPdonefiforiin`less$LOGFILE_IP`;doREPEAT_CONNECT_NUM=`grep$i $LOGFILE|wc-l`

## count repeat connections ,ifthe accout is large than default number,then drop packagesif[ $REPEAT_CONNECT_NUM -gt $MAX_PER_IP_SYN_RECV ];thenecho"$i####$REPEAT_CONNECT_NUM">> $DROP_IP_LOG

iptables -A INPUT -p ALL -s $i -j DROPfidoneALL_CONNECT=`uniq-u $LOGFILE|wc-l`

#echo $ALL_CONNECT

## count repeat connections ,ifthe accout is large than default number,then drop packagesif[ $ALL_CONNECT -gt $MAX_TOTAL_SYN_RECV ];then#echo $ALL_CONNECT

exitfi

原文：https://blog.csdn.net/weixin_33895695/article/details/85800117

    有服务器需求请加QQ1911624872咨询