linuxddos防禦_ddos是怎麼實現的如何防禦

1. linux防火牆如何防禦DDOS攻擊

抵禦DDOS
DDOS，分布式拒絕訪問攻擊，是指黑客組織來自不同來源的許多主機，向常見的埠，如80，25等發送大量連接，但這些客戶端只建立連接，不是正常訪問。由於一般Apache配置的接受連接數有限（通常為256），這些「假」訪問會把Apache占滿，正常訪問無法進行。

Linux提供了叫ipchains的防火牆工具，可以屏蔽來自特定IP或IP地址段的對特定埠的連接。使用ipchains抵禦DDOS，就是首先通過netstat命令發現攻擊來源地址，然後用ipchains命令阻斷攻擊。發現一個阻斷一個。

*** 打開ipchains功能
首先查看ipchains服務是否設為自動啟動：
chkconfig --list ipchains
輸出一般為：
ipchains 0:off 1:off 2:on 3:on 4:on 5:on 6:off
如果345列為on，說明ipchains服務已經設為自動啟動
如果沒有，可以用命令：
chkconfig --add ipchains
將ipchains服務設為自動啟動
其次，察看ipchains配置文件/etc/sysconfig/ipchains是否存在。如果這一文件不存在，ipchains
即使設為自動啟動，也不會生效。預設的ipchains配置文件內容如下：

# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
# allow http,ftp,smtp,ssh,domain via tcp; domain via udp
-A input -p tcp -s 0/0 -d 0/0 pop3 -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 http -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 https -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 ftp -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 smtp -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 ssh -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 domain -y -j ACCEPT
-A input -p udp -s 0/0 -d 0/0 domain -j ACCEPT
# deny icmp packet
#-A input -p icmp -s 0/0 -d 0/0 -j DENY
# default rules
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT
-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT

如果/etc/sysconfig/ipchains文件不存在，可以用上述內容創建之。創建之後，啟動ipchains服：
/etc/init.d/ipchains start

*** 用netstat命令發現攻擊來源
假如說黑客攻擊的是Web 80埠，察看連接80埠的客戶端IP和埠，命令如下：
netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort
輸出：
161.2.8.9:123 FIN_WAIT2
161.2.8.9:124 FIN_WAIT2
61.233.85.253:23656 FIN_WAIT2
...
第一欄是客戶機IP和埠，第二欄是連接狀態
如果來自同一IP的連接很多（超過50個），而且都是連續埠，就很可能是攻擊。
如果只希望察看建立的連接，用命令：
netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort

*** 用ipchains阻斷攻擊來源
用ipchains阻斷攻擊來源，有兩種方法。一種是加入到/etc/sysconfig/ipchains里，然後重啟動ipchains服務。另一種是直接用ipchains命令加。屏蔽之後，可能還需要重新啟動被攻擊的服務，是已經建立的攻擊連接失效

* 加入/etc/sysconfig/ipchains
假定要阻止的是218.202.8.151到80的連接，編輯/etc/sysconfig/ipchains文件，在:output ACCEPT
行下面加入：
-A input -s 218.202.8.151 -d 0/0 http -y -j REJECT
保存修改，重新啟動ipchains：
/etc/init.d/ipchains restart
如果要阻止的是218.202.8的整個網段，加入：
-A input -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT

* 直接用命令行
加入/etc/sysconfig/ipchains文件並重起ipchains的方法，比較慢，而且在ipchains重起的瞬間，可能會有部分連接鑽進來。最方便的方法是直接用ipchains命令。
假定要阻止的是218.202.8.151到80的連接，命令：
ipchains -I input 1 -p tcp -s 218.202.8.151 -d 0/0 http -y -j REJECT
如果要阻止的是218.202.8的整個網段，命令：
ipchains -I input 1 -p tcp -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT
其中，-I的意思是插入，input是規則連，1是指加入到第一個。

您可以編輯一個shell腳本，更方便地做這件事，命令：
vi blockit
內容：
#!/bin/sh
if [ ! -z "$1" ] ; then
echo "Blocking: $1"
ipchains -I input 1 -p tcp -s "$1" -d 0/0 http -y -j REJECT
else
echo "which ip to block?"
fi
保存，然後：
chmod 700 blockit
使用方法：
./blockit 218.202.8.151
./blockit 218.202.8.0/255.255.255.0

上述命令行方法所建立的規則，在重起之後會失效，您可以用ipchains-save命令列印規則:
ipchains-save
輸出：
:input ACCEPT
:forward ACCEPT
:output ACCEPT
Saving `input'.
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 88:88 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 89:89 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 90:90 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 91:91 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8180:8180 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 443:443 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 9095:9095 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8007:8007 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6000:6009 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7100:7100 -p 6 -j REJECT -y
您需要把其中的"Saving `input'."去掉，然後把其他內容保存到/etc/sysconfig/ipchains文件，這樣，下次重起之後，建立的規則能夠重新生效。

2. ddos怎麼防禦

1、首先選擇路由器、交換機、硬體防火牆等設備的時候要盡量選用知名度高、口碑好的產品。
2、其次路由器還是硬體防護牆設備要盡量避免採用網路地址轉換NAT的使用，採用此技術會較大降低網路通信能力。
3、每天對電腦進行檢查就可以防禦ddos了。

3. ddos是怎麼實現的如何防禦

一個完整的DDoS攻擊體系由攻擊者、主控端、代理端和攻擊目標四部分組成。主控端和代理端分別用於控制和實際發起攻擊，其中主控端只發布命令而不參與實際的攻擊，代理端發出DDoS的實際攻擊包。

每一個攻擊代理主機都會向目標主機發送大量的服務請求數據包，這些數據包經過偽裝，無法識別它的來源，而且這些數據包所請求的服務往往要消耗大量的系統資源，造成目標主機無法為用戶提供正常服務。甚至導致系統崩潰。

防禦方式：

1、全面綜合地設計網路的安全體系，注意所使用的安全產品和網路設備。

2、提高網路管理人員的素質，關注安全信息，遵從有關安全措施，及時地升級系統，加強系統抗擊攻擊的能力。

3、在系統中加裝防火牆系統，利用防火牆系統對所有出入的數據包進行過濾，檢查邊界安全規則，確保輸出的包受到正確限制。

4、優化路由及網路結構。對路由器進行合理設置，降低攻擊的可能性。

5、安裝入侵檢測工具(如NIPC、NGREP)，經常掃描檢查系統，解決系統的漏洞，對系統文件和應用程序進行加密，並定期檢查這些文件的變化。

(3)linuxddos防禦擴展閱讀：

DDoS攻擊可以使很多的計算機在同一時間遭受到攻擊，使攻擊的目標無法正常使用，分布式拒絕服務攻擊已經出現了很多次，導致很多的大型網站都出現了無法進行操作的情況，這樣不僅僅會影響用戶的正常使用，同時造成的經濟損失也是非常巨大的。

在這類攻擊中。攻擊者和代理端機器之間的通信是絕對不允許的。這類攻擊的攻擊階段絕大部分被限制用一個單一的命令來實現，攻擊的所有特徵，例如攻擊的類型，持續的時間和受害者的地址在攻擊代碼中都預先用程序實現。

4. Linux裡面ddos是什麼

使用DDoS deflate腳本自動屏蔽攻擊ip
DDoS deflate是一款免費的用來防禦和減輕DDoS攻擊的腳本。它通過netstat監測跟蹤創建大量網路連接的IP地址，在檢測到某個結點超過預設的限制時，該程序會通過APF或IPTABLES禁止或阻擋這些IP.

DDoS deflate其實是一個Shell腳本，使用netstat和iptables工具，對那些鏈接數過多的IP進行封鎖，能有效防止通用的惡意掃描器，但它並不是真正有效的DDoS防禦工具。
DDoS deflate工作過程衫告描述：
同一個IP鏈接到伺服器的連接數到達設置的伐值後，所有超過伐值的IP將被屏蔽，同時把屏蔽的IP寫入ignore.ip.list文件中，與此同時會在tmp中生成一個腳本文件，這個腳本文件馬上被執行，但是一
運行就遇到sleep預設的秒，當睡眠了這么多的時間後，解除被屏蔽的IP，同時把或凳明之前寫入ignore.ip.list文件中的這個被封鎖的IP刪除，然後刪除臨時生成的文件。
一個事實：如果被屏蔽的IP手工解屏蔽，那麼如果這個IP繼續產生攻擊，那麼腳本將不會再次屏蔽它（因為加入到了ignore.ip.list），直到在預設的時間之後才能起作用，加入到了ignore.ip.list中的
IP是檢測的時候忽略的IP。可以把IP寫入到這個文件以避免這些IP被堵塞，已經堵塞了的IP也會加入到ignore.ip.list中，但堵塞了預定時間後會從它之中刪除。
如何確認是否受到DDOS攻擊？
[root@test3-237 ~]# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
1 Address
1 servers)
2 103.10.86.5
4 117.36.231.253
4 19.62.46.24
6 29.140.22.18
8 220.181.161.131
2911 167.215.42.88
每個IP幾個、十幾個或幾十個連接數都還算比粗顫較正常，如果像上面成百上千肯定就不正常了。比如上面的167.215.42.88，這個ip的連接有2911個！這個看起來就很像是被攻擊了！

5. linux系統怎麼防止DDOS攻擊

用squid是利用埠映射的功能，可以將80埠轉換一下，其實一般的DDOS攻擊可以修改/proc/sys/net/ipv4/tcp_max_syn_backlog里的參數就行了，默認參數一般都很小，設為8000以上，一般的DDOS攻擊就可以解決了。如果上升到timeout階段，可以將/proc/sys/net/ipv4/tcp_fin_timeout設小點。
大家都在討論DDOS，個人認為目前沒有真正解決的方法，只是在緩沖和防禦能力上的擴充，跟黑客玩一個心理戰術，看誰堅持到最後，網上也有很多做法，例如syncookies等，就是復雜點。
sysctl -w net.ipv4.icmp_echo_ignore_all=1
echo 1 > /proc/世讓sys/net/ipv4/tcp_syncookies
sysctl -w net.ipv4.tcp_max_syn_backlog="2048"
sysctl -w net.ipv4.tcp_synack_retries="3"
iptables -A INPUT -i eth0 -p tcp --syn -j syn-flood
# Limit 12 connections per second (burst to 24)
iptables -A syn-flood -m limit --limit 12/s --limit-burst 24 -j RETURN
這個地方可以試著該該：
iptbales -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
虛擬主機服務商在運營過程中可能會受到黑客攻擊，常見的攻擊方式有SYN，DDOS等。
通過更換IP，查找被攻擊的站點可能避開攻擊，但是中斷服務的時間比較長。比較徹底
的解決方法是添置硬體防火牆。不過，硬體防火牆價格比較昂貴。可以考慮利用Linux
系統本身提供的防火牆功能來防禦。
1. 抵禦SYN
SYN攻擊是利用TCP/IP協議察輪3次握手的原理，發送大量的建立連接的網路包，但不實際
建立連接，最終導致被攻擊伺服器的網路隊列被占滿，無法被正常用戶訪問。
Linux內核提供了若干SYN相關的配置，用命令：
sysctl -a | grep syn
看到：
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5
tcp_max_syn_backlog是SYN隊列的長度，tcp_syncookies是一個開關，是否打開SYN Cookie
功能，該功能可以防止部分SYN攻擊。tcp_synack_retries和tcp_syn_retries定義SYN
的重試次數。
加大SYN隊列長度可以容納更多等待連接的敗返信網路連接數，打開SYN Cookie功能可以阻止部分
SYN攻擊，降低重試次數也有一定效果。
調整上述設置的方法是：
增加SYN隊列長度到2048：
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
打開SYN COOKIE功能：
sysctl -w net.ipv4.tcp_syncookies=1
降低重試次數：
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3
為了系統重啟動時保持上述配置，可將上述命令加入到/etc/rc.d/rc.local文件中。
2. 抵禦DDOS
DDOS，分布式拒絕訪問攻擊，是指黑客組織來自不同來源的許多主機，向常見的埠，如80，
25等發送大量連接，但這些客戶端只建立連接，不是正常訪問。由於一般Apache配置的接受連接
數有限（通常為256），這些「假」訪問會把Apache占滿，正常訪問無法進行。
使用ipchains抵禦DDOS，就是首先通過netstat命令發現攻擊來源地址，然後用ipchains命令阻斷
攻擊。發現一個阻斷一個。
首先查看ipchains服務是否設為自動啟動：
chkconfig --list ipchains

6. Linux裡面cc攻擊和Ddos攻擊區別是什麼

DDOS和CC攻擊的區別

dos攻擊指藉助於客戶/伺服器技術，將多個計算機聯合起來作為攻擊平台，對一個或多個目標發動攻擊，從而成倍地提高拒絕服務攻擊的威力。ddos的攻擊方式有很多種，最基本的dos攻擊就是利用合理的服務請求來佔用過多的服務資源，從而使合法用戶無法得到服務的響應。

CC攻擊模擬多個用戶(多少線程就是多少用戶)不停的進行訪問(訪問那些需要大量數據操作，就是需要大量CPU時間的頁面).這一點用一個一般的性能測試軟體就可以做到大量模擬用戶並發。CC攻擊的原理就是攻擊者控制某些主機不停地發大量數據包給對方伺服器造成伺服器資源耗盡，一直到宕機崩潰。

ddos攻擊和cc攻擊區別主要是針對對象的不同。DDoS是主要針對IP的攻擊，而CC攻擊的主要是網頁。CC攻擊相對來說，攻擊的危害不是毀滅性的，但是持續時間長;而ddos攻擊就是流量攻擊，這種攻擊的讓或判危害性較大，通過向目標伺服器發送大量數據包，耗盡其帶寬，甚至影響整個機房網路，所以一般的雲服務商都是會設置有DDos防禦值，比如阿里雲都是免費5G的防禦值，超過了後會把IP拉入黑洞，由此可看DDoS的威力更大。

那麼如何做好CC和DDoS的防禦呢?

其中高防伺服器和高防IP價格相對較貴，主機吧推薦使用高防CDN，比如網路雲加速高防CDN，價格既便宜，防禦又好，還可以加速，還有清晰的報表顯示，非常不錯。

網路雲加速提供四到七層的DDoS攻擊防護，包括CC、SYN flood、UDP flood等所有DDoS攻擊方式，通過分布式高性能防火牆+精準流量清洗+CC防禦+WEB攻擊攔截，組合過濾精確識別，有效防禦各種類型攻擊團激。相關鏈接坦改

7. linux系統怎麼防止DDOS攻擊

Linux 防止DDOS方法先說這個簡單效果不大的方法，Linux一般是apache做web服務軟體，一般來說按照訪問習慣全是設置的80埠。你可以改變一下服務埠，編輯httpd.conf文件，Linux下不清楚路徑可以find / -name httpd.conf然後vi $path$/httpd.conf找到裡面的listen:80更改為listen:8080重新啟動apache，這樣你的站點就運行在8080埠下了。關於這個linux系統的學習，我一直看劉遄老師的書籍《linux就該這么學》。

8. ddos防禦方法

ddos如何防禦方法如下：

工具／原料：電腦華碩A456U，Windows7、埠。

1、可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務和埠，即在路由器上過濾假IP。

9. 伺服器防禦ddos的方法

伺服器防止 DDoS 攻擊的方法包括但嘩咐芹不限於：

1、全面綜合地設計網路的安全體系，注意所使用的安全產品和網路設備。

2、提高網路管理人員的素質，關注安全信息，遵從有關安全措施，及時地升級系統，加強系統抗擊攻擊的能力。

3、在系統中加裝防火牆系統，利用防火牆系統對所有出入的數據包進行過濾，檢查邊界簡岩安全規則，確保輸出的包受到正確限制。

4、優化路由及網路結構。對路由器進行合理設置，降低攻擊的可能性。

5、優化對外提供服務的主機，對所有在網上提供公開服務的主機都加以限制。

6、安裝入侵檢測工具（如 NIPC、NGREP），經常掃描檢查系統，解決系統的漏洞，對系統文件和應用程序進行加密，並定期檢查這些文件的變化。

在響應方面，雖然還沒有很好的對付攻擊行為的方法，但仍然可以採取措施使攻擊的影響降至最小。對於提供信息服務的主機系統，應對的根本原則是：

盡可能地保持服務、迅速恢復服務。由於分布式攻擊入侵網路上的大量機器和網路設備，所以要對付這種攻擊歸根到底還是要解決網路的整體安全問題亂畢。

真正解決安全問題一定要多個部門的配合，從邊緣設備到骨幹網路都要認真做好防範攻擊的准備，一旦發現攻擊就要及時地掐斷最近攻擊來源的那個路徑，限制攻擊力度的無限增強。

網路用戶、管理者以及 ISP 之間應經常交流，共同制訂計劃，提高整個網路的安全性。

以上內容參考：網路-分布式拒絕服務攻擊

10. 防禦ddos攻擊應該怎麼做

DDoS攻擊的防護措施

為了防止DDoS攻擊，我們可以採取以下措施：

增加網路帶寬：DDoS攻擊旨在消耗目標系統的網路帶寬，因此增加網路帶寬可以緩解這種攻擊。但是，這只是一種短期的解決方案，因為攻擊者可以繼續增加攻擊流量。
使用防火牆和入侵防禦系統：防火牆和入侵防禦系統可以檢測和阻止DDoS攻擊流量，以及控制入站和出站流量。防火牆可以配置為限制網路流量，並攔截來自未知源的流量。
使用負載均衡器：負載均衡器可以將流量分散到多個伺服器上，從而分散攻擊流量，減輕攻擊的影響。
限制IP地址和埠號：限制IP地址和埠號可以防止攻擊者發送偽造的IP地址和埠號，從而避免目標系統受到DDoS攻擊。這可以通過防火牆、入侵防禦系統和路由器等網路設備來實現。
採用流量過濾器：流量過濾器可以檢測和阻止DDoS攻擊流量，並過濾掉與目標系統無關的流量。流量過濾器可以在網路邊緣或內部放置，以控制進入和離開網路的流量。
使用CDN（內容分發網路）：CDN是一種將內容分發到全球多個節點的服務，可以緩存和分發靜態內容（如圖片、視頻和文本）。CDN可以幫助減輕DDoS攻擊對目標系統的影響，並提高網站的性能和可用性。
更新系統和應毀頃用程序：定期更新系統和應用程序可以修補已知的漏洞和安全問題，並增強系統的安全性。這可以減少DDoS攻擊的風險，並使系統更加安全和可靠。
建立應急響應計劃：建立應急響應計劃可以幫助組織應對DDoS攻擊和其他網路安全事件。應急響應計劃應包括評估風險、建立報警機制、啟棚調查和分析事件、修復漏洞和恢復系統等步驟。
DDoS攻擊是一種常見的網路攻擊，可以對網路服務、網站、電子商務和金融交易等應用程序造成重大影響。為了防止DDoS攻擊，可以採取一系列措施，包括增加網路帶寬、使用防火牆和入侵防禦系統、使用負載均衡器、限制IP地址和埠號、採用流量過濾器、使用CDN、更新系統和應用程序、建立應急響應計劃等。這些措施悄余則可以幫助組織提高網路安全性，減少DDoS攻擊的風險。

相關鏈接

導航:首頁 > 操作系統 > linuxddos防禦

linuxddos防禦

與linuxddos防禦相關的資料