我要评论星期六我们一位客户受到攻击,我们的网络监测显示有连续6小时的巨大异常流量,我们立即联系了客户,没有得到回应,我们修改和限制了客户的 vps,使得个别 vps 受攻击不会对整个服务器和其他 vps 用户造成任何影响,我们一直保持这个 vps 为开通状态(尽管一直受攻击),攻击又持续了24小时,星期天攻击仍在继续,我们忍无可忍,但是仍然无法联系到客户,我们向客户网站的另一负责人询问是否需要我们介入来帮助解决,这位负责人答应后我们立即投入到与 ddos 的战斗中(我们动态扫描屏蔽坏 ip,现在客户网站已恢复。整个过程很有意思,以后有时间再写一篇博客来描述)。登录到客户 vps 第一件事情就是查当前连接和 ip,来自中国的大量 ip 不断侵占80端口,典型的 ddos. 所以第一件事是切断攻击源,既然攻击只攻80端口,那有很多办法可以切断,直接关闭网站服务器、直接用防火墙/iptables 切断80端口或者关闭所有连接、把 vps 网络关掉、换一个 ip,⋯,等等。因为攻击源在国内,所以我们决定切断来自国内的所有访问,这样看上去网站好像是被墙了而不是被攻击了,有助于维护客户网站的光辉形象,那么如何屏蔽来自某个特定国家的 ip 呢?
方法很容易,先到 ipdeny 下载以国家代码编制好的 ip 地址列表,比如下载 cn.zone:
# wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone
有了国家的所有 ip 地址,要想屏蔽这些 ip 就很容易了,直接写个脚本逐行读取 cn.zone 文件并加入到 iptables 中:
#!/bin/bash
# block traffic from a specific country
# written by vpsee.com
country="cn"
iptables=/sbin/iptables
egrep=/bin/egrep
if [ "$(id -u)" != "0" ]; then
echo "you must be root" 1>&2
exit 1
fi
resetrules() {
$iptables -f
$iptables -t nat -f
$iptables -t mangle -f
$iptables -x
}
resetrules
for c in $country
do
country_file=$c.zone
ips=$($egrep -v "^#|^$" $country_file)
for ip in $ips
do
echo "blocking $ip"
$iptables -a input -s $ip -j drop
done
done
exit 0
好 ip 和坏 ip 都被屏蔽掉了,这种办法当然不高明,屏蔽 ip 也没有解决被攻击的问题,但是是解决问题的第一步,屏蔽了攻击源以后我们才有带宽、时间和心情去检查 vps 的安全问题。公布一份我们客户被攻击的网络流量图,在18点到0点所有带宽都被攻击流量占用,这时候客户无法登录 vps,访问者也无法访问网站:
您可能感兴趣的文章:
如您对本文有疑问或者有任何想说的,请 点击进行留言回复,万千网友为您解惑!
网友评论