使用人性化的 Linux 防火墙 CFW 阻止 DDOS 攻击

最新推荐文章于 2023-03-21 18:12:16 发布
最新推荐文章于 2023-03-21 18:12:16 发布
阅读量428 收藏
点赞数
分类专栏: Linux Python Ubuntu 文章标签: linux ddos 服务器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45063926/article/details/127815267
版权
Python 同时被 3 个专栏收录
20 篇文章 0 订阅
订阅专栏
Linux
8 篇文章 0 订阅
订阅专栏
Ubuntu
2 篇文章 0 订阅
订阅专栏

CFW (Cyber Firewall) 是一个人性化的 Linux 防火墙。它旨在协助阻止拒绝服务攻击(DDOS),同时能控制 Linux 端口开关。

该软件基于 iptables 和 ipset,使用 Python 开发,使用时建议关闭发行版自带的防火墙(如 firewalld、ufw)避免冲突。

通过 CFW,您将能够:

  • 通过自定义的规则自动封禁互联网中的恶意 ip,以防止拒绝服务攻击

  • 控制开启或关闭 Linux 的 TCP/UDP 端口

  • 获得友好的交互式体验

如欲配合 CDN 使用,请将 CDN 的 ip 段设置为 CFW 白名单。

实现方法

CFW 通过 ss -Hntu | awk '{print $5,$6}' 命令获取当前服务器的所有连接。客户端的请求若超过设定并发数,该 ip 将被 iptables 封禁,并存储在 ipset 数据结构中。

CFW 通过调用 iptables 命令实现 Linux 端口开关。

安装

请先确保系统拥有以下依赖:

示例 1 (Debian, Ubuntu)

apt install -y curl ipset python3 git net-tools

示例 2 (CentOS)

yum install -y curl ipset python3 git net-tools

安装好系统依赖后,输入以下命令安装 CFW:

sudo curl https://raw.githubusercontent.com/Cyberbolt/cfw/main/install.py | python3

完成安装后,使用 source ~/.bashrc 激活 CFW 的环境变量。(新开 shell 将自动激活环境变量)

卸载

sudo curl https://raw.githubusercontent.com/Cyberbolt/cfw/main/uninstall.py | python3

链接

  • GitHub: https://github.com/Cyberbolt/cfw
  • 电光笔记: https://www.cyberlight.xyz/
  • Potato Blog: https://www.liuya.love/

配置

配置文件在 /etc/cfw/config.yaml 中,修改配置文件后运行 systemctl restart cfw 即可生效。

配置文件参数说明:

# CFW 运行端口
port: 6680
# CFW 检测连接的频率,单位:秒。此处默认 5 秒一次。
frequency: 5
# 允许每个 ip 连接的最大并发数,超过将被 CFW 封禁。
max_num: 100
# 解封 ip 的时间。此处默认 ip 被封禁后 600 秒将自动解封。若此处值为 0,则永久封禁。
unblock_time: 600
# 数据备份时间,单位:秒。
backup_time: 60

# ipv4 白名单路径。写在 txt 中,一行一个 ip,支持子网掩码。(本地地址、内网地址默认在该文件中)
whitelist: /etc/cfw/ip_list/whitelist.txt
# ipv4 黑名单路径。写在 txt 中,一行一个 ip,支持子网掩码。
blacklist: /etc/cfw/ip_list/blacklist.txt

# ipv6 白名单路径。写在 txt 中,一行一个 ip。
whitelist6: /etc/cfw/ip_list/whitelist6.txt
# ipv6 黑名单路径。写在 txt 中,一行一个 ip。
blacklist6: /etc/cfw/ip_list/blacklist6.txt

# 日志文件的路径
log_file_path: /etc/cfw/log/log.csv
# 日志文件的最大行数。(达到最大行数后将自动滚动。若此处值为 0,则不限制最大行数)
log_max_lines: 10000000

相关命令

命令中所有 [] 表示变量。

运行

停止 CFW systemctl stop cfw

启动 CFW systemctl start cfw

重启 CFW systemctl restart cfw

ip 黑名单管理

手动封禁单个 ipv4 cfw block [ip]

手动解封单个 ipv4 cfw unblock [ip]

查看 ipv4 黑名单 cfw blacklist

手动封禁单个 ipv6 cfw block6 [ip]

手动解封单个 ipv6 cfw unblock6 [ip]

查看 ipv6 黑名单 cfw blacklist6

Linux 端口操作

放行 ipv4 端口 cfw allow [port]

阻止 ipv4 端口 cfw deny [port]

单独放行 ipv4 TCP 端口 cfw allow [port]/tcp,示例如 cfw allow 69.162.81.155/tcp

单独阻止 ipv4 TCP 端口 cfw deny [port]/tcp,示例如 cfw deny 69.162.81.155/tcp

ipv4 UDP 端口操作同理

查看所有放行的 ipv4 端口 cfw status

放行 ipv6 端口 cfw allow6 [port]

阻止 ipv6 端口 cfw deny6 [port]

单独放行 ipv6 TCP 端口 cfw allow6 [port]/tcp,示例如 cfw allow6 69.162.81.155/tcp

单独阻止 ipv6 TCP 端口 cfw deny6 [port]/tcp,示例如 cfw deny6 69.162.81.155/tcp

ipv6 UDP 端口操作同理

查看所有放行的 ipv6 端口 cfw status6

日志操作

动态查询日志 cfw log [num]。‘num’ 为查询日志的条数,查询结果将按时间倒序。

更多

如果您在使用中遇到任何问题,欢迎在 https://github.com/Cyberbolt/cfw/issues 处留言。

Cyberbolt-2020
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Linux下防御ddos攻击
qq_40907977的博客
12-04 3594
导读 Linux服务器在运营过程中可能会受到黑客攻击,常见的攻击方式有SYN,DDOS等。通过更换IP,查找被攻击的站点可能避开攻击,但是中断服务的时间比较长。比较彻底的解决方法是添置硬件防火墙。不过,硬件防火墙价格比较昂贵。可以考虑利用Linux 系统本身提供的防火墙功能来防御。 SYN攻击是利用TCP/IP协议3次握手的原理,发送大量的建立连接的网络包,但不实际建立连接,最终导致被攻击服务器的网络队列被占满,无法被正常用户访问。 Linux内核提供了若干SYN相关的配置,加大SYN队列长度可以容纳更多
使用人性化Linux防火墙CFW阻止DDOS攻击
w5206666的博客
11-12 928
CFW (Cyber Firewall) 是一个人性化Linux 防火墙。它旨在协助阻止拒绝服务攻击(DDOS),同时能控制 Linux 端口开关。该软件基于 iptables 和 ipset,使用 Python 开发,使用时建议关闭发行版自带的防火墙(如 firewalld、ufw)避免冲突。通过 CFW,您将能够:通过自定义的规则自动封禁互联网中的恶意 ip,以防止拒绝服务攻击控制开启或关闭 Linux 的 TCP/UDP 端口获得友好的交互式体验。
linux笔记_防止ddos攻击
weixin_30590285的博客
06-12 93
一、什么是DoS攻击 DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被...
linuxddos攻击脚本,Linux系统防止DDOS攻击脚本
weixin_42397335的博客
05-01 615
chmod +x install.sh./install.sh安装结束后,配置主配文件 ddos.conf##### Paths of the script and other filesPROGDIR="/usr/local/ddos" #软件文件存放位置PROG="/usr/local/ddos/ddos.sh" #主要功能脚本路径IGNORE_IP_LIST="/usr/local/ddos...
Linux iptables防火墙详解防止DDOS
06-21
Linux iptables防火墙详解防止DDOS
PB cfw浏览器
12-07
PB cfw浏览器是一款专为定制化固件(CFW)设计的浏览工具,它整合了谷歌浏览器的核心技术,旨在提供出色的网页浏览体验。CFW,全称Custom Firmware,是一种对设备原厂固件进行修改和优化后的软件,通常用于增强设备...
德力西-CFW-3A母线槽
03-22
德力西-CFW-3A母线槽。 介绍了关于德力西-CFW-3A母线槽的详细说明,提供德力西的技术资料的下载。
LCD_240128CFW显示屏(FSMC).rar
06-09
标题中的“LCD_240128CFW显示屏(FSMC)”指的是一个使用了FSMC(Flexible Static Memory Controller,灵活静态存储器控制器)接口的240x128像素LCD显示屏。这种显示屏通常在嵌入式系统中使用,特别是基于STM32F407...
hackiebox_cfw:Toniebox WIP的定制固件
05-18
hackiebox_cfw Toniebox WIP的定制固件删除该固件是为了支持新的发展状况自定义引导加载程序具有完整的功能。 hackiebox自定义固件本身尚未准备好用作日常驱动程序。实现的功能: 自定义(SD)引导程序硬件驱动程序...
linux服务器防御ddos,linux如何防御ddos
weixin_42715608的博客
04-29 589
linux如何防御Linux内核提供了若干SYN相关的配置,加大SYN队列长度可以容纳更多等待连接的网络连接数,打开SYN Cookie功能可以阻止部分SYN攻击,降低重试次数也有一定效果。可以通过配置防火墙或者使用脚本工具来防范DDOS攻击,如:1)优化几个sysctl内核参数;2)利用linux系统自带iptables防火墙进行预防;3)使用DDoS deflate脚本自动屏蔽攻击ip。1.简...
Linux云服务器安全性:如何防范DDoS攻击
ZhujiServer的博客
03-21 811
DDoS攻击是一种攻击服务器的方式,它会使服务器瘫痪,从而无法向用户提供服务。云防火墙是一种基于云的安全服务,它可以检测和阻止各种网络攻击,包括DDoS攻击。这可以有效地保护服务器免受DDoS攻击,同时不影响服务器的性能。而无论对于Linux云服务器管理员还是一般用户而言,需要保持关注服务器的安全性,定期检查和更新防火墙、软件和操作系统,以及备份重要数据。虽然没有专门介绍Linux云服务器,但对于一些高性能云服务器以及其他同样可以用来抵御DDoS攻击的服务器配置信息进行了介绍。1、安装DDoS防护软件。
能够抵御ddos攻击防火墙
qq_43444473的博客
01-02 2603
互联网中几乎每天都在发生大大小小的网络攻击,这些网络攻击利用互联网中系统的漏洞,来入侵系统进行数据获取,或者流量攻击达到系统瘫痪的目的,如果不加以防御,很容易对企业产生不可挽回的损失。 DDOS防火墙实际上是防御ddos攻击防火墙的总称,包括web应用防火墙(WAF),内容分发网络(CDN)以及传统的硬件防火墙。大多数的防火墙都不是针对ddos攻击来设计的,防火墙的主要工作是对于数据包和流量进行...
Linux系统下防DDOS攻击的方法
在水一方
10-19 834
用squid是利用端口映射的功能,可以将80端口转换一下,其实一般的DDOS攻击可以修改/proc/sys/net/ipv4/tcp_max_syn_backlog里的参数就行了,默认参数一般都很小,设为8000以上,一般的DDOS攻击就可以解决了。如果上升到timeout阶段,可以将/proc/sys/net/ipv4/tcp_fin_timeout设小点。大家都在讨论DDOS,个人认为目前没有
linux面板带csf防火墙,linux csf 防火墙 防止少量的ddos cc攻击很有效
weixin_30341445的博客
05-13 375
上篇博客说到,httpd请求数过多,apache连接数不够,加大连接数的做法,在受ddos,cc攻击的情况下,最终的结果就是系统资源耗尽,导致死机。测试服务器,也没有想到会受到攻击,什么防范措施也没有做。装了csf的防火墙,在应对少量ddos,cc攻击的,还是挺管用的,以前也用过apf也挺不错,请参考1,调整apache的连接,总是会被占满,系统资源消耗的很厉害,测试服务器,没有装监控,nagio...
Linux下防御DDOS攻击的操作梳理
qq_40907977的博客
04-16 1801
DDOS介绍 DDOS的全称是Distributed Denial of Service,即"分布式拒绝服务攻击",是指击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请求、耗尽目标主机资源或网络资源,从而使被攻击的主机不能为合法用户提供服务。 DDOS攻击的本质是: 利用木桶原理,寻找利用系统应用的瓶颈;阻塞和耗尽;当前问题:用户的带宽小于攻击的规模,噪声访问带宽成为木桶的短板。 可以参考下...
基于linux下的firewalld服务基础
chao199512的博客
06-07 295
####################1.防火墙概述##########################################   动态防火墙后台程序 FireWalld提供了一个动态管理的防火墙,用以支持网络的zones,以分配对一个网络及相关连接和界面一定程度的信任;它支持以太网桥,并有分离运行时间和永久行配置选择。 ###################2.firewalld域#...
软考:网络安全-网络攻击
知识和信息将使你获得自由
04-16 1046
安全攻击类型 1)病毒 2)蠕虫 3)木马 4)僵尸网络 5)DOS 利用大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。 6)DDOS 很多DOS攻击源一起攻击某台服务器就形成了DDOS攻击 7)垃圾邮件 防范DOS和DDOS攻击的方式有: 1)根据IP地址对数据包进行过滤 2)使用高级别的身份认证 3)检测不正常的流量 恶意代码命名规则: Harm 恶意程序 对计算机进行破坏 Joke 恶作剧程序 不对计算机进行破坏,带来恐慌和麻烦 网络攻击分类 ...
ubantu系统安装+环境配置
Go_小虎吼吼
10-16 792
新装Linux系统 配置cuda cudnn 搜狗输入法 conda换国内清华源 Linux安装微信
华为云-云防火墙 CFW 防火墙 CFW-华为云价格
最新发布
10-11
华为云的云防火墙(Cloud Firewall,CFW)是一种托管在云端的网络安全服务,旨在保护云上资源免受网络攻击、恶意软件和未经授权的访问。CFW提供了一系列功能,包括网络流量过滤、入侵检测与防御、DDoS防护等,以帮助...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值