防止ddos攻擊軟件 DDoS-Deflate 的安裝和使用

努力小伙

    DDoS-Deflate通過(guò)查看單個(gè)ip的連接數(shù)來(lái)判斷這次連接是否是ddos攻擊的一部分，被確定為是ddos攻擊時(shí)，會(huì)調(diào)用iptables對(duì)該ip進(jìn)行阻攔一段時(shí)間，以緩解攻擊。

DDoS-Deflate 的配置很簡(jiǎn)單明了。

（一）安裝DDoS-Deflate

（1）下載安裝腳本

1. wget http://www.inetbase.com/scripts/ddos/install.sh

（2）安裝 DDoS-Deflate

1. ./install.sh

.....下面是安裝過(guò)程，很快....
Installing DOS-Deflate 0.6


Downloading source files.........done

Creating cron to run script every minute.....(Default setting)

....下面是發(fā)布協(xié)議....
....

這樣 DDoS-Deflate,就安裝好了

（二）配置和使用

(1)了解 DDoS-Deflate 軟件的文件分布

DDoS-Deflate 安裝好之后，默認(rèn)全部在 /usr/local/ddos/ 目錄下

1. # pwd
   /usr/local/ddos
   
2. # ls
   ddos.conf  ddos.sh  ignore.ip.list  LICENSE

文件說(shuō)明：
ddos.conf -- DDoS-Deflate 的配置文件，其中配置防止ddos時(shí)的各種行為
ddos.sh   -- DDoS-Deflate 的主程序，使用shell編寫的，整個(gè)程序的功能模塊
ignore.ip.list -- 白名單，該文件中的ip超過(guò)設(shè)定的連接數(shù)時(shí)，也不被 DDoS-Deflate 阻止
LICENSE   -- DDoS-Deflate 程序的發(fā)布協(xié)議

（2）配置 ddos.conf

1. ##### Paths of the script and other files    #配置文件也是個(gè)shell腳本
   
2. PROGDIR="/usr/local/ddos"
   
3. PROG="/usr/local/ddos/ddos.sh"
   
4. IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list" #存放白名單的文件
   
5. CRON="/etc/cron.d/ddos.cron"                 #計(jì)劃任務(wù)，默認(rèn)是每分鐘執(zhí)行一次ddos.sh
6. APF="/etc/apf/apf"
   
7. IPT="/sbin/iptables"
   
8. 
   
9. ##### frequency in minutes for running the script
   
10. ##### Caution: Every time this setting is changed, run the script with --cron
    
11. ##### option so that the new frequency takes effect
    
12. FREQ=1                                       #DDoS-Deflate通過(guò)linux的計(jì)劃任務(wù)執(zhí)行，默認(rèn)為每分鐘一次
13. d IP? Indicate that below.
    
14. NO_OF_CONNECTIONS=150                        #定義單個(gè)IP達(dá)到多少連接時(shí)規(guī)定為這是一次ddos攻擊
    
15. 
    
16. ##### How many connections define a ba
17. 
    
18. ##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
    
19. ##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
    
20. APF_BAN=0                                   #這里為 “0”，表示使用iptables，而不是APF
    
21. 
    
22. ##### KILL=0 (Bad IPs are'nt banned, good for interactive execution of script)
    
23. ##### KILL=1 (Recommended setting)
    
24. KILL=1                                      #是否阻止被定義為ddos攻擊的ip，“1”為阻止
    
25. 
    
26. ##### An email is sent to the following address when an IP is banned.
    
27. ##### Blank would suppress sending of mails
    
28. EMAIL_TO="xyzblood@163.com"                 #事件通知人的郵件地址
    
29. 
    
30. ##### Number of seconds the banned ip should remain in blacklist.
    
31. BAN_PERIOD=600                              #阻止被定義為ddos攻擊者ip與本機(jī)通信時(shí)間，默認(rèn)為600秒
    

(3)使用ddos.sh

1. 使用“-h”選項(xiàng)顯示該命令的提供的選項(xiàng)和功能簡(jiǎn)介
2. 因?yàn)榘惭b的時(shí)候默認(rèn)就執(zhí)行了： ./ddos --cron 了，所以我們什么也不需要做了
   
3. # ./ddos.sh -h
   DDoS-Deflate version 0.6
   Copyright (C) 2005, Zaf <zaf@vsnl.com>
   
   Usage: ddos.sh [OPTIONS] [N]
   N : number of tcp/udp   connections (default 150)
   OPTIONS:
   -h | --help: Show       this help screen
   -c | --cron: Create cron job to run this script regularly (default 1 mins)
   -k | --kill: Block the offending ip making more than N connections
   

（4）測(cè)試防ddos攻擊效果

1. NO_OF_CONNECTIONS=3         #這里為了方便測(cè)試，設(shè)置為3。生產(chǎn)環(huán)境下，幾十到幾百都可以理解為正常，上千肯定就是不正常了，除非是應(yīng)用內(nèi)部各個(gè)服務(wù)器之間的通信

通過(guò)一臺(tái)固定ip的機(jī)器ssh連接該服務(wù)器，當(dāng)連接到超過(guò)3甚至更多時(shí)，不會(huì)立刻顯示連不上，因?yàn)閐dos.sh默認(rèn)一分鐘運(yùn)行一次，當(dāng)過(guò)不到一分鐘時(shí)，會(huì)發(fā)現(xiàn)連接掉了，查看部署了防ddos軟件的服務(wù)器上可以看到iptables的策略中多了：

1. DROP all -- 31.210.16.29.broad.cs.gd.dynamic.163data.com.cn anywhere

說(shuō)明確實(shí)生效了，當(dāng)10分鐘后，iptables上這條策略會(huì)被取消的

（5）關(guān)于如何查看單個(gè)IP的連接數(shù)目可以通過(guò)如下命令查看，依次排列：

1. netstat -na|grep ESTABLISHED|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -r -n
2. ..............

     40 127.0.0.1
      1 121.9.252.28
      1 173.117.140.69

(三)后記
ddos攻擊很常見(jiàn)，攻擊效果也很好，比如像前段時(shí)間由于維基創(chuàng)始人引發(fā)的那次大范圍的攻擊。
如果有專門防止ddos的硬件設(shè)備的話最好，沒(méi)有的話就利用DDoS-Deflate結(jié)合iptables在一定程度上防范ddos攻擊也是一種很好的策略。