Linux VPS下简单解决CC攻击

    准备工作

    1登录进VPS控制面板准备好随时重启VPS

    2关闭Web Server先过高负载会导致后面操作很难进行甚至直接无法登录SSH

    3以防万把设置Web Server系统启动后自动运行去掉

    (如果已经无法登录进系统并且重启后负载过高导致刚刚开机就已经无法登录可联系管理员在母机上封掉VPSIP或80端口在母机上用虚拟控制台登录进系统然后进行2&3操作的后解封)

    2找出攻击者IP

    1在网站WebSite根目录建立文件ip.php写入下面内容

    <?php

    $real_ip = getenv(‘HTTP_X_FORWARDED_FOR’)；

    (is($real_ip)){

    shell_exec(“echo $real_ip real_ip.txt”)；

    shell_exec(“echo $_SERVER['REMOTE_ADDR'] proxy.txt”)；

    }{

    shell_exec(“echo $_SERVER['REMOTE_ADDR'] ips.txt”)；

    }

    echo ‘服务器受到攻击正在收集攻击源请在5分钟后访问本站5分钟内多次访问本站有可能会被当作攻击源封掉IP谢谢合作！';

    ?>

    2设置伪静态将网站WebSite下所有访问都rewrite到ip.php

    Nginx规则:

    rewrite (*) /ip.php;

    Lighttpd规则:

    url.rewrite = (

    “^/(+)/?$” => “/ip.php”

    )

    3启动Web Server开始收集IP

    进行完1和2设置后启动Web Server开始记录IP信息

    收集时间建议为3到5分钟然后再次关闭Web Server

    real_ip.txt这个文件中保存IP有80%以上都相同这个IP就是攻击者实施攻击平台IP

    proxy.txt这个文件中保存是攻击者代理服务器IP需要封掉

    ips.txt这里记录是未表现出代理服务器特征IP根据访问次数判断是否为攻击源

    3对上段补充

    如果VPS上启用了WEB日志可以查看日志文件增长速度来判断是哪个站点被攻击

    如果没有启用日志并且站点数量很少临时启用日志也很方便

    如果没有启用日志并且站点数量过多可以使用临时Web Server配置文件不绑定虚拟主机设置个默认站点然后在ip.php里加入下面行

    shell_exec(“echo $_SERVER['HTTP_HOST'] do.txt”)；

    do.txt里将保存被访问过域名被CC攻击站点将在里面占绝大多数

    4开始封堵IP

    建立文件ban.php

    <?

    $threshold = 10;

    $ips = .gif' />_count_values(file('ips.txt’))；

    $ban_num = 0;

    foreach($ips as $ip=>$num){

    ($num > $threshold){

    $ip = trim($ip)；

    $cmd = “iptables -I INPUT -p tcp --dport 80 -s $ip -j DROP”;

    shell_exec($cmd)；

    echo “$ip baned! ”;

    $ban_num ;

    }

    }

    $proxy_arr = .gif' />_unique(file(‘ips.txt’))；

    foreach($proxy_arr as $proxy){

    $proxy = trim($proxy)；

    $cmd = “iptables -I INPUT -p tcp --dport 80 -s $ip -j DROP”;

    shell_exec($cmd)；

    echo “$ip baned! ”;

    $ban_num ;

    }

    echo “total: $ban_num ips ”;

    ?>

    用下面命令执行脚本(确保php命令在PATH中)

    php ban.php

    这个脚本依赖于第 2段中ips.txt里保存结果当其中记录IP访问次数超过10次就被当作攻击源给屏蔽掉如果是代理服务器则不判断次数直接 封掉

    封完IP的后把所有网站WebSite设置恢复正常站点可以继续正常运行了

    5些细节

    为保持对操作过程描述尽量简洁没有在上面内容中加入过多解释留在这段统讲述

    1有关“代理服务器”些本质

    两个和TCP&HTTP协议相关值REMOTE_ADDR和HTTP_X_FORWARDED_FOR

    (1)REMOTE_ADDR总是取离Web服务器最接近台主机IP如果没有使用代理这个值就是访问者本身IP如果使用了代理这个值就是 代理服务器IP如果通过多个代理服务器进行连接这个值就是到达Web服务器前最后台代理服务器IP

    REMOTE_ADDR是由TCP/IP层决定不能修改不能伪造

    (2)HTTP_X_FORWARDED_FOR这个值是属于HTTP部分而不是TCP/IP所以这个值不管是什么都不影响数据传输事实 上般情况下如果是访问者直接访问Web服务器这个值为空；通过透明代理时候这个值会被代理服务器设置为访问者IP；通过匿名代理连接时这 个值可能为代理服务器IP也可能是空也有可能是随机

    HTTP_X_FORWARDED_FOR可以被任意修改大多数代理服务器都是透明代理也就是说会把这个值设置为最原始访问者IP

    2有关解决CC攻击层面问题

    按处理效率从高到低排列

    (由于本文是针对VPS服务器所写而VPS简单来说就是服务器低端替代品内存和CPU等资源普遍偏低当然是处理效率越高越好)

    (1)网络传输层也就是本文所用iptables这个工具本身是工作于系统内核在建立网络连接时直接把攻击者连接给否了在这层面上将攻击源处理掉后消耗掉资源几乎可以忽略不计

    (2)Web Server层大多数Web Server都可以设置禁止访问IP在这层上解决意义和上面差不多但是效率要差些

    (3)脚本层从脚本上制定适合于本身策略过滤掉攻击源网络上有很多流传在这层面解决方案但是不太适用于VPS而且设置难度可能要增加几倍或者几十倍

    3为什么不是从日志收集IP？

    主要是考虑两点是大多数VPS使用者都硬盘空间过小经常清除日志很麻烦而直接禁止了日志

    2是如果从日志收集IP脚本复杂程度要高很多而且可能要根据情况做些调整考虑到将要读到本文人大多数都未必掌握更多技术本文目就是按部就班依本文进行操作即可解决问题

    本文版权归www.diahosting.com 所有

延伸阅读