linux检测及防止DDOS攻击的技巧

　　身为一个网站的站长，不仅要保证网站的流量提升，还要预防DDOS攻击，那么在Linux系统下要如何检测DDOS攻击呢？又该如何防止DDOS攻击呢？这都是一门学问。

　　1、利用netstat 工具来检测查看SYN连接

　　netstat -n -p -t

　　Active Internet connections （w/o servers）

　　Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

　　tcp 0 0 192.168.0.200:5050 192.168.0.38:48892 TIME_WAIT -

　　tcp 0 0 192.168.0.200:5050 192.168.0.38:36604 TIME_WAIT -

　　tcp 0 0 192.168.0.200:5050 192.168.0.38:52988 TIME_WAIT -

　　tcp 0 0 192.168.0.200:5050 192.168.0.38:38911 TIME_WAIT -

　　tcp 0 0 192.168.0.200:5050 192.168.0.38:58623 TIME_WAIT -

　　tcp 0 0 192.168.0.200:43690 192.168.0.200:61616 ESTABLISHED 10415/java

　　当然我上面的都是正常连接。当然TIME_WAIT如果占比过多，肯定也是不正常的。（要么受到了攻击，要么需要参数调优。）

　　而受到DDOS恶意攻击的情况下会在系统中看到的，很多连接处于SYN_RECV状态（在WINDOWS系统中是SYN_RECEIVED状态）源IP地址都是随机的，表明这是一种带有IP欺骗的SYN攻击。

　　tcp 0 10.11.11.11:23 124.173.152.8:25882 SYN_RECV-

　　tcp 0 10.11.11.11:23 236.15.133.204:2577 SYN_RECV-

　　tcp 0 10.11.11.11:23 127.160.6.129:51748 SYN_RECV-

　　具体主机的端口状态有以下几种：

　　CLOSED：无连接是活动的或正在进行

　　LISTEN：服务器在等待进入呼叫

　　SYN_RECV：一个连接请求已经到达，等待确认

　　SYN_SENT：应用已经开始，打开一个连接

　　ESTABLISHED：正常数据传输状态

　　FIN_WAIT1：应用说它已经完成

　　FIN_WAIT2：另一边已同意释放

　　ITMED_WAIT：等待所有分组死掉

　　CLOSING：两边同时尝试关闭

　　TIME_WAIT：另一边已初始化一个释放

　　LAST_ACK：等待所有分组死掉

　　稍微更详细的说明可以看下百度百科上对ESTABLISHED状态的解释及延伸。

　　具体SYN_RECV状态的统计比较多，我这里介绍两种脚本的写法：

　　netstat -an | awk ‘/^tcp/ {++S［$NF］} END {for（a in S） print a， S［a］}’

　　上面的脚本会列出所有状态的连接数。

　　netstat -n -p -t | grep SYN_RECV | grep ：80 | wc -l

　　当然，上面80是特指web站点受到DDOS攻击。

　　2、LINUX下DDOS SYN攻击的防范

　　防范也主要从两方面入手，一是sysctl的自身的关于syn方面的配置，二是防火墙策略上。

　　sysctl -w net.ipv4.tcp_syncookies=1 # tcp syncookie，默认关闭

　　sysctl -w net.ipv4.tcp_max_syn_backlog=1280 # syn队列，默认1024，》 1280可能工作不稳定，需要修改内核源码参数

　　sysctl -w net.ipv4.tcp_synack_retries=2 # syn-ack握手状态重试次数，默认5，遭受syn-flood攻击时改为1或2

　　sysctl -w net.ipv4.tcp_syn_retries=2 # 外向syn握手重试次数，默认4

　　以上四处是网上经常提到的几个地方，当然还有未提到的也可以通过下列命令查看。

　　［root@web3 nginx］# sysctl -a|grep syn

　　net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60

　　net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120

　　net.ipv4.tcp_max_syn_backlog = 1024

　　net.ipv4.tcp_syncookies = 1

　　net.ipv4.tcp_synack_retries = 5

　　net.ipv4.tcp_syn_retries = 5

　　fs.quota.syncs = 25

　　如未受到攻击，上面的参数不建议修改。据说有增加主机的不稳定性的风险。

　　防火墙策略：

　　#缩短SYN- Timeout时间：

　　iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

　　iptables -A INPUT -i eth0 -m limit --limit 1/sec --limit-burst 5 -j ACCEPT

　　#每秒最多3个syn封包进入：

　　iptables -N syn-floodiptables -A INPUT -p tcp --syn -j syn-flood

　　iptables -A syn-flood -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURNiptables -A syn-flood -j REJECT

　　方法二，利用iptables防ddos攻击更详细版本

　　RH 8.0以上开始启用iptables替代ipchains，两者非常类似，也有差别的地方。

　　* 启用iptables

　　如果/etc/sysconfig/下没有iptables文件，可以创建：

　　# Firewall configuration written by lokkit

　　# Manual customization of this file is not recommended.

　　# Note： ifup-post will punch the current nameservers through the

　　# firewall; such entries will *not* be listed here.

　　*filter

　　：INPUT ACCEPT ［0:0］

　　：FORWARD ACCEPT ［0:0］

　　：OUTPUT ACCEPT ［0:0］

　　：RH-Lokkit-0-50-INPUT - ［0:0］

　　-A INPUT -j RH-Lokkit-0-50-INPUT

　　-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ftp -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ssh -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport http -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport smtp -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport pop3 -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport mysql -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2001 -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport domain -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport domain -j ACCEPT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT

　　-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT

　　-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT

　　-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT

　　COMMIT

　　以上配置允许了ftp， ssh， http， smtp， pop3， mysql， 2001（Prima的ACA端口），domain端口。

　　* 启动iptables

　　/etc/init.d/iptables start

　　* 设置iptables为自动启动

　　chkconfig --level 2345 iptables on

　　* 用iptables屏蔽IP

　　iptables -I RH-Lokkit-0-50-INPUT 1 -p tcp -m tcp -s 213.8.166.227 --dport 80 --syn -j REJECT

　　注意到，和ipchains的区别是：

　　-I 后面跟的规则名称的参数和ipchains不同，不是统一的input，而是在/etc/sysconfig/iptables里定义的那个

　　多了-m tcp

　　指定端口的参数是--dport 80

　　多了--syn参数，可以自动检测sync攻击

　　使用iptables禁止ping：

　　-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 2 -j ACCEPT

　　-A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with icmp-port-unreachable

　　允许某ip连接

　　-I RH-Firewall-1-INPUT 1 -p tcp -m tcp -s 192.168.0.51 --syn -j ACCEPT

　　注：具体的端口需要根据自己的网络来进行相应的修改。

　　方法三，利用自动屏蔽DDOS攻击者IP的软件：DDoS deflate

　　、安装DDoS deflate

　　wget https://www.inetbase.com/scripts/ddos/install.sh //下载DDoS deflate

　　chmod 0700 install.sh //添加权限

　　。/install.sh //执行

　　2、配置DDoS deflate

　　下面是DDoS deflate的默认配置位于/usr/local/ddos/ddos.conf

　　内容如下：

　　##### Paths of the script and other files

　　PROGDIR=“/usr/local/ddos”

　　PROG=“/usr/local/ddos/ddos.sh”

　　IGNORE_IP_LIST=“/usr/local/ddos/ignore.ip.list” //IP地址白名单

　　CRON=“/etc/cron.d/ddos.cron” //定时执行程序

　　APF=“/etc/apf/apf”

　　IPT=“/sbin/iptables”

　　##### frequency in minutes for running the script

　　##### Caution： Every time this setting is changed， run the script with –cron

　　##### option so that the new frequency takes effect

　　FREQ=1 //检查时间间隔，默认1分钟

　　##### How many connections define a bad IP？ Indicate that below.

　　NO_OF_CONNECTIONS=150 //最大连接数，超过这个数IP就会被屏蔽，一般默认即可

　　##### APF_BAN=1 （Make sure your APF version is atleast 0.96）

　　##### APF_BAN=0 （Uses iptables for banning ips instead of APF）

　　APF_BAN=1 //使用APF还是iptables。推荐使用iptables，将APF_BAN的值改为0即可。

　　##### KILL=0 （Bad IPs are’nt banned， good for interactive execution of script）

　　##### KILL=1 （Recommended setting）

　　KILL=1 //是否屏蔽IP，默认即可

　　##### An email is sent to the following address when an IP is banned.

　　##### Blank would suppress sending of mails

　　EMAIL_TO=“root” //当IP被屏蔽时给指定邮箱发送邮件，推荐使用，换成自己的邮箱即可

　　##### Number of seconds the banned ip should remain in blacklist.

　　BAN_PERIOD=600 //禁用IP时间，默认600秒，可根据情况调整用户可根据给默认配置文件加上的注释提示内容，修改配置文件。

　　用户可根据给默认配置文件加上的注释提示内容，修改配置文件。

　　查看/usr/local/ddos/ddos.sh文件的第117行

　　netstat -ntu | awk ‘{print $5}’ | cut -d： -f1 | sort | uniq -c | sort -nr 》 $BAD_IP_LIST

　　修改为以下代码即可！

　　netstat -ntu | awk ‘{print $5}’ | cut -d： -f1 | sed -n ‘/［0-9］/p’ | sort | uniq -c | sort -nr 》 $BAD_IP_LIST

　　用户也可以用Web压力测试软件测试一下效果，相信DDoS deflate还是能给你的VPS或服务器抵御一部分DDOS攻击，给你的网站更多的保护。

　　上面就是Linux检测和防止DDOS攻击的方法介绍了，防范胜于治疗，及早防止DDOS攻击比DDOS攻击后再处理更方便。