linux防禦ddos

『壹』 linux裡面cc攻擊和Ddos攻擊區別是什麼

DDOS和CC攻擊的區別

dos攻擊指藉助於客戶/伺服器技術，將多個計算機聯合起來作為攻擊平台，對一個或多個目標發動攻擊，從而成倍地提高拒絕服務攻擊的威力。ddos的攻擊方式有很多種，最基本的dos攻擊就是利用合理的服務請求來佔用過多的服務資源，從而使合法用戶無法得到服務的響應。

CC攻擊模擬多個用戶(多少線程就是多少用戶)不停的進行訪問(訪問那些需要大量數據操作，就是需要大量CPU時間的頁面).這一點用一個一般的性能測試軟體就可以做到大量模擬用戶並發。CC攻擊的原理就是攻擊者控制某些主機不停地發大量數據包給對方伺服器造成伺服器資源耗盡，一直到宕機崩潰。

ddos攻擊和cc攻擊區別主要是針對對象的不同。DDoS是主要針對IP的攻擊，而CC攻擊的主要是網頁。CC攻擊相對來說，攻擊的危害不是毀滅性的，但是持續時間長;而ddos攻擊就是流量攻擊，這種攻擊的危害性較大，通過向目標伺服器發送大量數據包，耗盡其帶寬，甚至影響整個機房網路，所以一般的雲服務商都是會設置有DDos防禦值，比如阿里雲都是免費5G的防禦值，超過了後會把IP拉入黑洞，由此可看DDoS的威力更大。

那麼如何做好CC和DDoS的防禦呢?

其中高防伺服器和高防IP價格相對較貴，主機吧推薦使用高防CDN，比如網路雲加速高防CDN，價格既便宜，防禦又好，還可以加速，還有清晰的報表顯示，非常不錯。

網路雲加速提供四到七層的DDoS攻擊防護，包括CC、SYN flood、UDP flood等所有DDoS攻擊方式， 通過分布式高性能防火牆+精準流量清洗+CC防禦+WEB攻擊攔截，組合過濾精確識別，有效防禦各種類型攻擊。相關鏈接

『貳』 linux防火牆如何防禦DDOS攻擊

抵禦DDOS
DDOS，分布式拒絕訪問攻擊，是指黑客組織來自不同來源的許多主機，向常見的埠，如80，25等發送大量連接，但這些客戶端只建立連接，不是正常訪問。由於一般Apache配置的接受連接數有限（通常為256），這些「假」 訪問會把Apache占滿，正常訪問無法進行。

Linux提供了叫ipchains的防火牆工具，可以屏蔽來自特定IP或IP地址段的對特定埠的連接。使用ipchains抵禦DDOS，就是首先通過netstat命令發現攻擊來源地址，然後用ipchains命令阻斷攻擊。發現一個阻斷一個。

*** 打開ipchains功能
首先查看ipchains服務是否設為自動啟動：
chkconfig --list ipchains
輸出一般為：
ipchains 0:off 1:off 2:on 3:on 4:on 5:on 6:off
如果345列為on，說明ipchains服務已經設為自動啟動
如果沒有，可以用命令：
chkconfig --add ipchains
將ipchains服務設為自動啟動
其次，察看ipchains配置文件/etc/sysconfig/ipchains是否存在。如果這一文件不存在，ipchains
即使設為自動啟動，也不會生效。預設的ipchains配置文件內容如下：

# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
# allow http,ftp,smtp,ssh,domain via tcp; domain via udp
-A input -p tcp -s 0/0 -d 0/0 pop3 -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 http -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 https -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 ftp -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 smtp -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 ssh -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 domain -y -j ACCEPT
-A input -p udp -s 0/0 -d 0/0 domain -j ACCEPT
# deny icmp packet
#-A input -p icmp -s 0/0 -d 0/0 -j DENY
# default rules
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT
-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT

如果/etc/sysconfig/ipchains文件不存在，可以用上述內容創建之。創建之後，啟動ipchains服：
/etc/init.d/ipchains start

*** 用netstat命令發現攻擊來源
假如說黑客攻擊的是Web 80埠，察看連接80埠的客戶端IP和埠，命令如下：
netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort
輸出：
161.2.8.9:123 FIN_WAIT2
161.2.8.9:124 FIN_WAIT2
61.233.85.253:23656 FIN_WAIT2
...
第一欄是客戶機IP和埠，第二欄是連接狀態
如果來自同一IP的連接很多（超過50個），而且都是連續埠，就很可能是攻擊。
如果只希望察看建立的連接，用命令：
netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort

*** 用ipchains阻斷攻擊來源
用ipchains阻斷攻擊來源，有兩種方法。一種是加入到/etc/sysconfig/ipchains里，然後重啟動ipchains服務。另一種是直接用ipchains命令加。屏蔽之後，可能還需要重新啟動被攻擊的服務，是已經建立的攻擊連接失效

* 加入/etc/sysconfig/ipchains
假定要阻止的是218.202.8.151到80的連接，編輯/etc/sysconfig/ipchains文件，在:output ACCEPT
行下面加入：
-A input -s 218.202.8.151 -d 0/0 http -y -j REJECT
保存修改，重新啟動ipchains：
/etc/init.d/ipchains restart
如果要阻止的是218.202.8的整個網段，加入：
-A input -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT

* 直接用命令行
加入/etc/sysconfig/ipchains文件並重起ipchains的方法，比較慢，而且在ipchains重起的瞬間，可能會有部分連接鑽進來。最方便的方法是直接用ipchains命令。
假定要阻止的是218.202.8.151到80的連接，命令：
ipchains -I input 1 -p tcp -s 218.202.8.151 -d 0/0 http -y -j REJECT
如果要阻止的是218.202.8的整個網段，命令：
ipchains -I input 1 -p tcp -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT
其中，-I的意思是插入，input是規則連，1是指加入到第一個。

您可以編輯一個shell腳本，更方便地做這件事，命令：
vi blockit
內容：
#!/bin/sh
if [ ! -z "$1" ] ; then
echo "Blocking: $1"
ipchains -I input 1 -p tcp -s "$1" -d 0/0 http -y -j REJECT
else
echo "which ip to block?"
fi
保存，然後：
chmod 700 blockit
使用方法：
./blockit 218.202.8.151
./blockit 218.202.8.0/255.255.255.0

上述命令行方法所建立的規則，在重起之後會失效，您可以用ipchains-save命令列印規則:
ipchains-save
輸出：
:input ACCEPT
:forward ACCEPT
:output ACCEPT
Saving `input'.
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 88:88 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 89:89 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 90:90 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 91:91 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8180:8180 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 443:443 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 9095:9095 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8007:8007 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6000:6009 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7100:7100 -p 6 -j REJECT -y
您需要把其中的"Saving `input'."去掉，然後把其他內容保存到/etc/sysconfig/ipchains文件，這樣，下次重起之後，建立的規則能夠重新生效。

『叄』 伺服器被攻擊怎麼處理

目前來說解決伺服器被DDOS攻擊最常見的辦法就是使用硬體防火牆了，也就是我們常說的高防伺服器，高防伺服器都會帶有一定量的硬防，或大或小。

『肆』 如何使用 DenyHosts 來阻止 SSH暴力攻擊

Denyhosts是一個Linux系統下阻止暴力破解SSH密碼的軟體，它的原理與DDoS Deflate類似，可以自動拒絕過多次數嘗試SSH登錄的IP地址，防止互聯網上某些機器常年破解密碼的行為，也可以防止黑客對SSH密碼進行窮舉。

眾所周知，暴露在互聯網上的計算機是非常危險的。並不要因為網站小，關注的人少或不惹眼就掉以輕心：互聯網中的大多數攻擊都是沒有目的性的，黑客們通過大范圍IP埠掃描探測到可能存在漏洞的主機，然後通過自動掃描工具進行窮舉破解。筆者的某台伺服器在修改SSH 22號埠之前，平均每天接受近百個來自不同IP的連接嘗試。而DenyHosts正是這樣一款工具。下文將對該工具的安裝與使用方法進行介紹。

DenyHosts阻止攻擊原理
DenyHosts會自動分析 /var/log/secure 等安全日誌文件，當發現異常的連接請求後，會自動將其IP加入到 /etc/hosts.deny 文件中，從而達到阻止此IP繼續暴力破解的可能。同時，Denyhosts還能自動在一定時間後對已經屏蔽的IP地址進行解封，非常智能。

官方網站
Denyhosts的官方網站為：http://denyhosts.sourceforge.net/ （杜絕Putty後門事件，謹記安全軟體官網）

安裝方法

1、下載DenyHosts源碼並解壓（目前最新版為2.6）
1 [root@www ~]# wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz
2 [root@www ~]# tar zxvf DenyHosts-2.6.tar.gz
3 [root@www ~]# cd DenyHosts-2.6
2、安裝部署
1 [root@www DenyHosts-2.6]# yum install python -y
2 [root@www DenyHosts-2.6]# python setup.py install
3、准備好默認的配置文件
1 [root@www DenyHosts-2.6]# cd /usr/share/denyhosts/
2 [root@www denyhosts]# cp denyhosts.cfg-dist denyhosts.cfg
3 [root@www denyhosts]# cp daemon-control-dist daemon-control
4、編輯配置文件denyhosts.cfg
1 [root@www denyhosts]# vi denyhosts.cfg
該配置文件結構比較簡單，簡要說明主要參數如下：
PURGE_DENY：當一個IP被阻止以後，過多長時間被自動解禁。可選如3m（三分鍾）、5h（5小時）、2d（兩天）、8w（8周）、1y（一年）；
PURGE_THRESHOLD：定義了某一IP最多被解封多少次。即某一IP由於暴力破解SSH密碼被阻止/解封達到了PURGE_THRESHOLD次，則會被永久禁止；
BLOCK_SERVICE：需要阻止的服務名；
DENY_THRESHOLD_INVALID：某一無效用戶名（不存在的用戶）嘗試多少次登錄後被阻止；
DENY_THRESHOLD_VALID：某一有效用戶名嘗試多少次登陸後被阻止（比如賬號正確但密碼錯誤），root除外；
DENY_THRESHOLD_ROOT：root用戶嘗試登錄多少次後被阻止；
HOSTNAME_LOOKUP：是否嘗試解析源IP的域名；
大家可以根據上面的解釋，瀏覽一遍此配置文件，然後根據自己的需要稍微修改即可。
5、啟動Denyhosts
1 [root@www denyhosts]# ./daemon-control start
如果需要讓DenyHosts每次重啟後自動啟動，還需要：
6、設置自動啟動
設置自動啟動可以通過兩種方法進行。
第一種是將DenyHosts作為類似apache、mysql一樣的服務，這種方法可以通過 /etc/init.d/denyhosts 命令來控制其狀態。方法如下：
1 [root@www denyhosts]# cd /etc/init.d
2 [root@www init.d]# ln -s /usr/share/denyhosts/daemon-control denyhosts
3 [root@www init.d]# chkconfig --add denyhosts
4 [root@www init.d]# chkconfig -level 2345 denyhosts on
第二種是將Denyhosts直接加入rc.local中自動啟動（類似於Windows中的「啟動文件夾」）：
1 [root@www denyhosts]# echo '/usr/share/denyhosts/daemon-control start' >> /etc/rc.local
如果想查看已經被阻止的IP，打開/etc/hosts.deny 文件即可。

『伍』 伺服器安全狗怎麼樣好不好用

伺服器安全一直是我們不可忽視的運維工作之一。伺服器安全狗作為一款伺服器安全防護軟體，對於VPS、雲主機等虛擬主機產品來說還是比較好用的。有IIS版安全狗（網站安全狗）及伺服器版安全狗兩個版本都比較適合伺服器主機的安全防護工作。

伺服器安全狗是一款集伺服器安全防護和安全管理為一體的綜合性伺服器工具。支持Windows全系列操作系統（Windows2003/Windows2008/Windows201232位64位）、Linux操作系統的伺服器安全防護軟體，從驅動層直接屏蔽攻擊，保護伺服器安全。

伺服器安全狗功能涵蓋了伺服器殺毒、系統優化、伺服器漏洞補丁修復、伺服器程序守護、遠程桌面監控、文件目錄守護、系統帳號監控、DDOS防火牆、ARP防火牆、防CC攻擊、防入侵防篡改、安全策略設置以及郵件實時告警等多方面模塊，為用戶的伺服器在運營過程中提供完善的保護，使其免受惡意的攻擊、破壞。