Linux 服务器被 DDoS / CC 时应急的封 IP 方法

最新推荐文章于 2022-12-27 13:15:41 发布
最新推荐文章于 2022-12-27 13:15:41 发布
阅读量204 收藏 1
点赞数
文章标签: awk 运维 网络
原文链接:http://www.cnblogs.com/wpjamer/articles/7162643.html
版权

当我们的 Linux 服务器受到少量攻击时,这时候我们可以使用 iptables 来手动封禁这些攻击者的IP。

如果攻击比较大时,有时我们根本无法响应过来,iptables 基本也就无能为力了,那我们就只能与机房联系让他们想想办法了。

对于少量攻击处理的步骤应该是:获取IP --> 封IP

获取攻击者 IP

通过 netstat 获取

如果攻击者攻击的是你的 Web 服务的话,默认是80端口,我们就可以使用下面的代码!

如果攻击的不是80端口的话,将下面的两个数字80改为你被攻击的端口即可!

如果你需要显示多条记录,请自己手动将 head -n20 调大即可

netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20 | netstat -ant |awk '/:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A[i],i}' |sort -rn|head -n20

 

通过 tcpdump 获取

在使用之前,请确保您的系统已经安装了 tcpdump 。

Debian / Ubuntu 系列快速安装如下

apt-get install -y tcpdump

 

安装后,使用下面的代码即可。

需要注意的是, -i eth0 指的是你主网卡,如果你是 OpenVZ 的虚拟机的话,就改成您的网卡名venet0

同样你需要设置的是, port 80 设置你被攻击的端口, -c 1000 指 tcpdump 需要统计的记录数,他会在达到这个数之后显示结果。 head -20 设置你要显示的记录条数

tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr |head -20

 

封禁 IP

通过上面的步骤,我们已经知道是谁在攻击我们了,现在我们就可以将他们拉入 iptables 禁止他们连接到服务器了。

封禁单个 IP

iptables -I INPUT -s 211.1.2.1 -j DROP

 

封禁一个 IP 段

iptables -I INPUT -s 211.1.2.0/16 -j DROP

 

如果需要更多关于 iptables 的教程,由于不在本帖需要讲述的内容当中,请自行 Google 答案。

参考资料

Linux被DDOS&CC攻击解决实例

转载于:https://www.cnblogs.com/wpjamer/articles/7162643.html

weixin_33973600
关注
如何防止DDOS攻击与CC攻击???
来杯咖啡的博客
08-16 286
总体来说,DDoSCC攻击防护需要综合多种技术手段和策略,包括硬件、软件、网络架构和操作流程等方面的改进和优化。2. 使用防火墙和入侵检测系统(IDS):配置防火墙来过滤和限制恶意流量的访问,同使用IDS来检测并阻止潜在的攻击行为。1. 增加带宽和资源:通过增加网络带宽和服务器资源,可以扩大系统的吞吐能力,从而能够承受更大规模的攻击流量。8. 合理的网络架构设计:采用可扩展和弹性的网络架构,便于快速应对攻击,并减小攻击对系统的影响范围。
如何检查有哪些尝试入侵服务器IP?有哪些命令?
weixin_52730346的博客
12-03 710
相信在用云服务器建站之后的维护过程中,检查服务器是否被入侵是每一个站长都会特别关注的事项。我自己用的是小鸟云香港云服务器(性能还是比较稳定的),有免费防御提供也可以自己调高防御,最近有一次被ddos攻击,还好峰值在防御的范围内,属于有惊无险,找技术的候也很热心帮忙解决问题https://www.niaoyun.com/#/?utm_source=csdnc-1203。出于安全考虑(以防万一),我还是整理了一些检查服务器是否被入侵的小方法,仅供参考。 一、安装杀毒软件(例如:360安全卫士、火绒安全,电脑管
自动识别攻击,使用iptablesip
Hey,I'm emmby
06-24 1356
#!/bin/bash # 自动识别攻击,使用iptablesip # 每次清除防火墙规则,过滤过去30分钟日志 # author caozhi, completed on 2019-06-21, last update on 2019-07-08 # version:2.1 # 查看此脚本是否有hang住的情况,如果有 则退出 PIDFILE="/tmp/ddospid" trap "/b...
Linux服务器ip
hxxjxw的博客
07-08 704
Linux下,使用ipteables来维护IP规则表。要停或者是解IP,其实就是在IP规则表中对入站部分的规则进行添加操作。 要停一个IP,使用下面这条命令: iptables -I INPUT -s ***.***.***.*** -j DROP 要解一个IP,使用下面这条命令: iptables -D INPUT -s ***.***.***.*** -j DROP 参数-I是表示Insert(添加),-D表示Delete(删除)。后面跟的是规则,INPUT表示...
linux下禁ip
zhang_jun_jian的博客
12-29 109
@[TOC]把ip禁掉 把某个ip给禁掉:iptables -A INPUT -d X.X.X.X -j DROP 不过禁FCC IP命令不太一样: iptables -A INPUT -s X.X.X.X -j DROP
一个自动IP防御DDOS脚本
weixin_30608131的博客
04-28 412
DDoS deflate 工作原理 每分钟检测一次IP连接状况,当某些IP连接超过配置脚本限制的连接数,程序会自动禁止这些IP一段间,以达到防御攻击的目的 DDoS deflate官方网站:http://deflate.medialayer.com/ Installation 安装 wget http://www.inetbase.com/scripts/ddos/install....
Linux服务器遇到攻击怎么办?用这些方法IP
sbyntdx的博客
11-15 2708
Linux服务器就是采用Linux系统的网络服务器,我用的是小鸟云Linux服务器,用了很久一直都好好的,前几天突然遇到攻击,直接把CPU跑满很头大,后来咨询了技术,再结合自己在网上搜索到的信息,记录一下怎么获取攻击者的IP,然后禁,来保护我们的云服务器。 如果攻击者攻击的是我们的web服务,默认是80端口,可以试下下面的代码,如果攻击的不是80端口的话,将下面的两个数字80改为你被攻击的端口即可。如果你需要显示多条记录,请自己手动将head -n20调大就行。 netstat-anlp|g.
服务器ddos攻击?分析如何防止DDOS攻击?
Srsshier的博客
11-09 1141
分布式拒绝服务攻击(DDoS攻击)是一种针对目标系统的恶意网络攻击行为,DDoS攻击经常会导致被攻击者的业务无法正常访问,也就是所谓的拒绝服务。常见的DDoS攻击包括以下几类:网络层攻击:比较典型的攻击类型是UDP反射攻击,例如:NTP Flood攻击,这类攻击主要利用大流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问。传输层攻击:比较典型的攻击类型包括SYN Flood攻击、连接数攻击等,这类攻击通过占用服务器的连接池资源从而达到拒绝服务的目的。
如何预防ddos, cc等流量攻击?
m0_74894510的博客
12-27 395
DdoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难,如何采取措施有效的应对呢? 下面是一些对付它的常规方法: 1、定期扫描 要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重
宝塔Linux面板开启CC防护
最新发布
03-15
随着互联网的快速发展,网站的安全问题日益凸显,其中CC攻击(Challenge Collapsar)成为一种常见的DDoS攻击方式,它通过大量合法请求占用服务器资源,导致服务无法正常响应。对于使用宝塔Linux面板的用户来说,了解...
Shell—实现DDOS攻击自动IP
Globalizationa的博客
01-09 458
需求:请根据web日志或者或者网络连接数,监控当某个IP并发连接数或者短内PV达到100,即调用防火墙命令掉对应的IP。 防火墙命令为:iptables-I INPUT -s IP地址 -j DROP。 脚本实现 #!/bin/bash Info_File=/tmp/ddos_check.log #从连接数获取 #netstat -lant|awk -F "[ :]+" '/180:80/{clsn[$6]++}END{for(pol in clsn)print pol,clsn[pol]...
linux大量屏蔽恶意ip地址
生而无畏,战至终章
07-14 1473
linux批量【屏蔽】ip地址
Linux服务器DDoSCC攻击如何禁攻击者IP
LuHai3005151872的博客
07-17 714
Linux服务器就是采用Linux系统的网络服务器,当Linux服务器遭到DDOs攻击或者CC攻击,如果攻击流量非常大,那只能通过专业的网络安全公司接入高防来防御了,但如果是小流量的攻击,我们可以通过使用 iptables 来手动禁这些攻击者的IP,从而达到防护效果。今天就来分享一下Linux服务器下如何获取攻击者IP然后进行禁。 通过 netstat 获取攻击者 IP 如果攻击者攻击的是你的 Web 服务的话,默认是80端口,我们就可以使用下面的代码,如果攻击的不是80端口的话,将下面的两个数字
ddos攻击,附加IP有作用吗
dexunyun的博客
05-08 1368
进入21世纪以来,互联网给企业的飞速发展提供了便利,但同也给企业带来了各种网络安全问题。 很多企业的网络经常受到严重的恶意攻击,导致崩溃无法运行,且近年来攻击愈发频繁。 DDOS始终无法得到更好的解决,目前也无法的彻底解决这一现状,当遭受攻击,有客户客户不禁想问,给服务器再增加个IP行不行,那遇到攻击了多加个IP了能解决问题吗? 最近就有个朋友过来吐槽了,自己最近频繁遭受大流量的ddos攻击,而他那服务器商提供的解决方案就是加IP。最后,他花钱额外再附加IP,但是结果确是让他失望,加了一个遇到攻击
Linux 禁止某个IP地址访问的几种方法
热门推荐
Jay112011的博客
03-23 1万+
Linux 禁止某个IP地址访问的几种方法 一、概述 这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下: #服务进程名:主机列表:当规则匹配可选的命令操作 server_name:hosts-list[:command] /etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。 /etc/hosts.allow和/e
DDoS高防造成IP堵后的腾讯云怎么自救
m0_70754056的博客
11-14 1123
很多腾讯云用户应该都经历过被ddos攻击后,IP惨遭腾讯云堵的情况。首先我们要知道服务器被攻击遭受IP堵的话,一般是2-24小不等。如果黑客一直不停的攻击,会将24小/48小/72小/或者永久死。当然在这里我们也可以提供秒解。 为什么需要堵策略呢? DDoS攻击不仅影响受害者,也会对整个云网络造成严重影响。而且DDoS防御需要成本,其中最大的成本就是带宽费用。 带宽是云计算服务商向电信、联通、移动等运营商购买,运营商计算带宽费用不会把DDoS攻击流量清洗掉,而是直接收取云计算服务商的带宽费
DDOS高防ip是什么?有什么用?
m0_66268916的博客
02-21 534
ddos高防ip网络安全公司针对服务器在遭受大流量的ddos攻击导致服务不可用的情况,推出的付费增值服务。 ddos攻击是通过用大量的无效流量数据对该IP服务器进行请求,导致服务器的资源被大量占用,无法对正确的请求作出响应通过配置ddos高防ip服务,把域名解析到高防ip(Web业务吧域名解析指向高防ip;非Web业务,把业务ip替换成高防节点的ip)并配置源ip。这可以通过配置高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。 DDoS高防IP的优势 1、接入简单,不需要重新转移搭建 2、dd
阿里云主机遭受DDOS攻击IP不能使用如何更换弹性公网IP
孙奋斗的博客
08-16 1694
阿里云主机遭受DDOS攻击IP不能使用如何更换弹性公网IP
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值