iptables 防护
ysctl -w net.ipv4.ip_forward=1 &>/dev/null
#打开转发
sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null
#打开 syncookie (轻量级预防 DOS 攻击)
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null
#设置默认 TCP 连接最大时长为 3800 秒(此选项可以大大降低连接数)
sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/n
#设置支持最大连接树为 30W(这个根据你的内存和 iptables 版本来,每个 connection 需要 300 多个字节)
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
#防止SYN攻击 轻量级预防
iptables -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP
iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃
应用自身防护
以 Nginx 为例,限制单个 ip 请求频率。
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件,所有访问ip 限制每秒10个请求
server {
location ~ .php$ {
limit_req zone=one burst=5 nodelay; //执行的动作,通过zone名字对应 }
}
location /download/ {
limit_conn addr 1; // 限制同一时间内1个连接,超出的连接返回503
}
}
}
高性能代理
Haproxy+keepalived
- Haproxy 配置
前端:
frontend http
bind 10.0.0.20:80
acl anti_DDoS always_true
#白名单
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#标记非法用户
stick-table type ip size 20k expire 2m store gpc0
tcp-request connection track-sc1 src
tcp-request inspect-delay 5s
#拒绝非法用户建立连接
tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }
后端:
backend xxx.xxx.cn
mode http
option forwardfor
option httplog
balance roundrobin
cookie SERVERID insert indirect
option httpchk GET /KeepAlive.ashx HTTP/1.1\r\nHost:\ 系统登录
acl anti_DDoS always_false
#白名单
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#存储client10秒内的会话速率
stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s)
tcp-request content track-sc2 src
#十秒内会话速率超过50个则可疑
acl conn_rate_limit src_http_req_rate(系统登录) gt 80
#判断http请求中是否存在SERVERID的cookie
acl cookie_present cook(SERVERID) -m found
#标记为非法用户
acl mark_as_abuser sc1_inc_gpc0 gt 0
tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser
- keepalived 配置
global_defs {
router_id { { server_id }}
}
vrrp_script chk_haproxy{
script “/home/proxy/keepalived/{ { project }}/check_haproxy_{ { server_id }}.sh”
interval 2
weight -10
}
vrrp_instance VI_1 {
state { { role }}
interface { { interface }}
virtual_router_id 10{ { tag }}
priority { { value }}
advert_int 1
authentication {
auth_type PASS
auth_pass keepalived_DDoS
track_script {
chk_haproxy
}
}
virtual_ipaddress {
{ { vip }}/24 dev { { interface }} label { { interface }}:{ { tag }}
}
换个说话就是接入高防CDN或者 高防IP
由于 cdn 高防 ip 防御原理比较相近,都是利用代理或者 dns 调度的方式进行 “引流->清洗->回注” 的防御流程,因此将两者合并介绍