原始出处: 一步一步学python
这个周末叫一个烦啊,网站突然打不开了,赶紧的远程连上去看看是啥问题 结果悲剧了,ssh连不上去,总是超时 第一反应就是被ddos了
联系机房结果说流量占满了,更悲剧的是这个机房竟然没有硬件防火墙,没有办法只能跑去机房看看找下IP了 结果一查不得了啊,满屏的连接,唯有先断网查查几个访问比较多的IP
不过这治标不治本的方法只能维持很短时间,没过多久就又不行了,没有硬件防火墙的机房伤不起啊 不过周末机房都不给安排上架,也就不能换机房了,只好先就那样挂着吧
网上有关ddos的攻击说的很详细了,不过在没有硬件防火墙的情况下要防住还真是件麻烦事,就想写个脚本 检测固定时间内的指定IP的请求数,把疑似攻击的源用iptables禁止掉 无意见看到防DDos攻击in python
from subprocess import Popen,PIPE import re import time import sqlite3 CONCURRENCY_ALLOWED = 30 OUTDATE_TIME = 86400 # initializing database db = sqlite3.connect("/tmp/ddos.db3") c = db.cursor() try: c.execute("create table ddos (ip text unique,date integer);") except: print "database exists" # blocking ips has more than CONCURRENCY_ALLOWED connections pipe = Popen("netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n > /tmp/ddos.txt",shell=True,bufsize=1024,stdout=PIPE).stdout #ddos = pipe.read() ddos = open("/tmp/ddos.txt").read() ct = re.compile(r"(\S+)\s+(\S+).* ").findall(ddos) for count,ip in ct: if int(count)>CONCURRENCY_ALLOWED and (ip != "127.0.0.1") and (not ip.startswith("192.168")): out = Popen("iptables -I INPUT -s %s -j DROP"%ip,shell=True,bufsize=1024,stdout=PIPE).stdout print "blocking %s for %s visits" % (ip,count) c.execute('replace into ddos values (?,?)',(ip,int(time.time()))) time.sleep(0.1) db.commit() # unblocking outdated blockings c.execute("select * from ddos") ddos = c.fetchall() for ip,date in ddos: if date + OUTDATE_TIME < time.time(): c.execute("delete from ddos where ip=?",(ip,)) print "unblocking %s" % ip out = Popen("iptables -D INPUT -s %s -j DROP"%ip,shell=True, bufsize=1024,stdout=PIPE).stdout time.sleep(0.1) db.commit()也不用自己写了,明天准备换机房不过也把这个放进去做第二手准备,还是建议大家找一个规模大点的IDC机房,硬件措施跟不上的你伤不起啊
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
