防人之心不可无。 网上总有些无聊或者有意的人。不多说了。上干货,配置vps apf防小流量ddos攻击。关于大流量的ddos攻击, 需求机房的硬件防火墙,vps内部可能也扛不住。
1. 装置 DDoS deflate
DDoS deflate的原理是经过netstat命令找出 发出过量衔接的单个IP,并运用iptables防火墙将这些IP停止回绝。由于iptables防火墙回绝IP的衔接远比从Apache层面上来得高效,因而iptables便成了运转在Apache前端的“过滤器”。同样的,DDoS deflate也能够设置采用APF(高级防火墙)停止IP阻止。
主要功用与配置
1、能够设置IP白名单,在 /usr/local/ddos/ignore.ip.list 中设置即可;
2、主要配置文件位于 /usr/local/ddos/ddos.conf ,翻开此文件,依据提示停止简单的编辑即可;
3、DDoS deflate能够在阻止某一IP后,隔一段预置的时分自动对其解封;
4、能够在配置文件中设置多长时间检查一次网络衔接状况;
5、当阻止IP后,能够设置Email提示
简单配置一下:
2. 装置配置apf
APF(Advanced Policy Firewall)是 Rf-x Networks 出品的Linux环境下的软件防火墙,被大局部Linux效劳器管理员所采用,运用iptables的规则,易于了解及运用。合适对iptables不是很熟习的人运用,由于它的装置配置比拟简单,但是功用还是十分强大的。
脚本装置:
ubuntu 能够快速装置:
配置:
往后翻页,找到:
默许只要22端口开放。 我们先不论。 访问以下80端口的网站试试。 发现居然能够访问。 为什么规则没有起作用。继续查看配置文件。 找啊找。这一行惹起了我的留意:
忽然想到, 会不会是监听端口的问题。我们晓得, 假如是真实效劳器或者是 xen虚拟化的vps, 其网卡是 eth*。 例如:
忽然想到, 会不会是监听端口的问题。我们晓得, 假如是真实效劳器或者是 xen虚拟化的vps, 其网卡是 eth*。 例如:
但是, 我这台vps是openvz虚拟化的。 它的网卡普通是 vnet* 的。 比方:
于是改上面的配置文件:
重启 apf:
提示说找不到 ip_tables 模块。
ip_tables
apf(4677): {glob} unable to load iptables module (ip_tables), aborting.
于是搜索: ubuntu apf 找到这篇文章
大致意义是说, 在ubuntu中, iptables默许被编译进了内核, 而不是以模块方式运转的。apf默许是运用模块方式调用iptables。 所以要修正apf的配置:
SET_MONOKERN="1"
然后重启 apf
然后看到一长串的日志:
看样子是胜利了。
试一下, 果真80端口不能访问了。
只要22还在。
回到配置文件, 我们把端口开放:
找到:
保管,重启: apf –r
再访问以下,胜利了。
最后, 关闭apf的调试形式,正式上线:
找到:
改成 0:
