使用DDOS deflate抵御少量DDOS攻击

DDoS-Deflate是一款非常小巧的防御和减轻DDoS攻击的工具，它可以通过监测netstat来跟踪来创建大量互联网连接的IP地址信息，通过APF或IPTABLES禁止或阻档这些非常IP地址。

工作过程描述：
同一个IP链接到服务器的连接数到达设置的伐值后，所有超过伐值的IP将被屏蔽，同时把屏蔽的IP写入ignore.ip.list文件中，与此同时会在tmp中生成一个脚本文件，这个脚本文件马上被执行，但是一运行就遇到sleep 预设的秒，当睡眠了这么多的时间后，解除被屏蔽的IP，同时把之前写入ignore.ip.list文件中的这个被封锁的IP删除，然后删除临时生成的文件。

一个事实：如果被屏蔽的IP手工解屏蔽，那么如果这个IP继续产生攻击，那么脚本将不会再次屏蔽它（因为加入到了ignore.ip.list），直到在预设的时间之后才能起作用，加入到了ignore.ip.list中的IP是检测的时候忽略的IP。可以把IP写入到这个文件以避免这些IP被堵塞，已经堵塞了的IP也会加入到ignore.ip.list中，但堵塞了预定时间后会从它之中删除。

在tmp文件中生成的解除屏蔽IP的脚本文件内容如下：

cat  /tmp/unban.XXXXXXXX

#!/bin/sh
sleep 600
/sbin/iptables -D INPUT -s 10.0.10.55 -j DROP
grep -v --file=/tmp/unban.3RIsCVkG /usr/local/ddos/ignore.ip.list > /tmp/unban.VPYmNEnb
mv /tmp/unban.VPYmNEnb /usr/local/ddos/ignore.ip.list
rm -f /tmp/unban.uqPU5tGK
rm -f /tmp/unban.3RIsCVkG
rm -f /tmp/unban.VPYmNEnb

另外值得一提的是，使用iptables进行屏蔽时，使用的是 -I 参数，规则会被放置在规则列表的最前面（这一点很重要）。

-----------------------------------------------------------------------------

我们可以使用netstat命令查看当前系统连接数据的统计，是否有受到DDOS攻击

# netstat -ntu | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sed -n '/[0-9]/p' | sort | uniq -c | sort -nr

#  watch -n 1 'echo "show table http-in" | socat unix:/var/run/haproxy.stats - |grep "157.55.39" '

1、安装DDoS deflate

wget http://www.inetbase.com/scripts/ddos/install.sh

chmod 0700 install.sh

./install.sh

自动生成定时任务，默认每分钟执行一次

#  cat /etc/cron.d/ddos.cron
SHELL=/bin/sh
0-59/1 * * * * root /usr/local/ddos/ddos.sh >/dev/null 2>&1

这个cron任务的执行频率是依赖ddos.conf文件中的FREQ变量产生的，如果修改了此值，可以通过运行如下命令更新（实际也是在安装时运行了如下命令）：
/usr/local/ddos/ddos.sh -c  或  /usr/local/ddos/ddos.sh –cron

2、配置DDoS deflate

下面是DDoS deflate的默认配置位于/usr/local/ddos/ddos.conf ，内容如下：

　　##### Paths of the script and other files

　　PROGDIR=“/usr/local/ddos”

　　PROG=“/usr/local/ddos/ddos.sh”

　　IGNORE_IP_LIST=“/usr/local/ddos/ignore.ip.list”    #相当于IP地址白名单和当前时段被检测出访问异常的IP地址的合集

　　CRON=“/etc/cron.d/ddos.cron”   #定时执行程序

　　APF=“/etc/apf/apf”

　　IPT=“/sbin/iptables”

　　##### frequency in minutes for running the script

　　##### Caution： Every time this setting is changed， run the script with –cron

　　##### option so that the new frequency takes effect

　　FREQ=1  #检查时间间隔，默认1分钟

　　##### How many connections define a bad IP？ Indicate that below.

　　NO_OF_CONNECTIONS=150   #最大连接数，超过这个数IP就会被屏蔽，一般默认即可

　　##### APF_BAN=1 （Make sure your APF version is atleast 0.96）

　　##### APF_BAN=0 （Uses iptables for banning ips instead of APF）

　　APF_BAN=0   #使用APF还是iptables。推荐使用iptables，将APF_BAN的值改为0即可。

　　##### KILL=0 （Bad IPs are’nt banned， good for interactive execution of script）

　　##### KILL=1 （Recommended setting）

　　KILL=1   #是否屏蔽IP，默认即可

　　##### An email is sent to the following address when an IP is banned.

　　##### Blank would suppress sending of mails

　　EMAIL_TO=“root”   #当IP被屏蔽时给指定邮箱发送邮件，推荐使用，换成自己的邮箱即可（如果不希望发送邮件，设置为空）

　　##### Number of seconds the banned ip should remain in blacklist.

　　BAN_PERIOD=600  #禁用IP时间，默认600秒，可根据情况调整

　　用户可根据给默认配置文件加上的注释提示内容，修改配置文件。

　  修改/usr/local/ddos/ddos.sh文件的第117行：

　　netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr > $BAD_IP_LIST

　　修改为以下代码即可！

　　netstat -ntu | awk '{print $5}' | cut -d: -f1 | sed -n '/[0-9]/p' | sort | uniq -c | sort -nr  > $BAD_IP_LIST

ddos.sh --help显示帮助，比如如果要即时干掉当前超过N个连接的IP，使用sh ddos.sh -k 150 , sh ddos.sh -c 创建cron job

　　用户也可以用Web压力测试软件ab测试一下效果，相信DDoS deflate还是能给你的VPS或服务器抵御一部分DDOS攻击，给你的网站更多的保护。

ab命令安装：#yum install httpd-tools  -y

3、卸载DDoS deflate

wget http://www.inetbase.com/scripts/ddos/uninstall.ddos

chmod 0700 uninstall.ddos

./uninstall.ddos

参考资料：http://www.myhack58.com/Article/48/66/2013/41214.htm

-----------------------------------------------------------------------------------------------------------

参考补充：

防范DDOS攻击脚本：

#防止SYN攻击 轻量级预防
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -I syn-flood -p tcp -m limit --limit /s --limit-burst  -j RETURN
iptables -A syn-flood -j REJECT
#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃
iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above  -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
#用Iptables抵御DDOS (参数与上相同)
iptables -A INPUT  -p tcp --syn -m limit --limit /s --limit-burst  -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit /s -j ACCEPT

iptables防DDOS攻击脚本：

#!/bin/sh
## define some vars
MAX_TOTAL_SYN_RECV=""
MAX_PER_IP_SYN_RECV=""
MARK="SYN_RECV"
PORT=""
LOGFILE="/var/log/netstat_$MARK-$PORT"
LOGFILE_IP="/var/log/netstat_connect_ip.log"
DROP_IP_LOG="/var/log/netstat_syn_drop_ip.log"
## iptables default rules: accept normailly packages and drop baleful SYN* packages
iptables -F -t filter
iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p ALL -m state --state INVALID -j DROP
iptables -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
## initialize
if [ -z $MARK ];then
MARK="LISTEN"
fi
if [ -z $PORT ];then
SPORT="tcp"
else
SPORT=":$PORT"
fi
######################## end
## save the results of command netstat to specifal file
netstat -atun|grep $MARK|grep $SPORT >/dev/null >$LOGFILE
REPEAT_CONNECT_IP=`less $LOGFILE|awk '{print $5}'|cut -f1 -d ':'|sort|uniq -d |tee > $LOGFILE_IP`
if [ -f $DROP_IP_LOG ];then
for i in `less $DROP_IP_LOG`;do
iptables -A INPUT -p ALL -s $i -j DROP
done
fi
for i in `less $LOGFILE_IP`;do
REPEAT_CONNECT_NUM=`grep $i $LOGFILE|wc -l`
## count repeat connections ,if the accout is large than default number,then drop packages
if [ $REPEAT_CONNECT_NUM -gt $MAX_PER_IP_SYN_RECV ];then
echo "$i####$REPEAT_CONNECT_NUM" >> $DROP_IP_LOG
iptables -A INPUT -p ALL -s $i -j DROP
fi
done
ALL_CONNECT=`uniq -u $LOGFILE|wc -l`
#echo $ALL_CONNECT
## count repeat connections ,if the accout is large than default number,then drop packages
if [ $ALL_CONNECT -gt $MAX_TOTAL_SYN_RECV ];then
#echo $ALL_CONNECT
exit
fi