Sistema Linux: cómo prevenir ataques de CC

¿Se ha encontrado con una situación de este tipo, el servidor se está ejecutando normalmente, el número de usuarios que acceden al sitio web es normal, pero la página está muy atascada, hasta que la situación de colapso, esta situación es principalmente CC Ataque, más vale prevenir que curar, el siguiente Xiaobian toma el sistema Linux como ejemplo para mostrarle cómo Linux puede prevenir los ataques de CC.

¿Cuál es el ataque CC

ataque cc es simple (ChallengeCollapsar)

principio ataque CC es el atacante el control de algunos hosts enviar constantemente grandes cantidades de paquetes de datos Hace que el otro servidor se quede sin recursos del servidor hasta que se produce el bloqueo. CC se usa principalmente para atacar la página. Todos tienen esta experiencia: cuando una página web tiene una gran cantidad de visitantes, la página web es lenta y CC simula múltiples usuarios (cuántos subprocesos son usuarios). El acceso a las páginas que requieren una gran cantidad de operaciones de datos (es decir, que requiere mucho tiempo de CPU) provoca un desperdicio de recursos del servidor. La CPU está al 100% durante mucho tiempo y siempre hay conexiones que no se pueden procesar hasta que la red se congestiona y se anula el acceso normal.

Prevenga los métodos de ataque de CC

Hay dos formas de prevenir este ataque de CC.

La primera es usar el firewall de esta máquina para resolver el firewall que se puede instalar dentro de CSF. El inconveniente es que solo puede prevenir ataques de CC a pequeña escala y DDOS (estoy en Alibaba Cloud, así que no se preocupe demasiado por DDOS). Si el ataque de CC es feroz, la máquina también se ejecutará directamente en la CUP.

La segunda forma es agregar CDN. Este método para prevenir ataques de CC es el mejor, pero CDN generalmente requiere dinero.

Ahora hablemos de la protección específica.

Primero instale el firewall CSF. Esto es relativamente simple y no necesita cambiar el nombre de dominio. La solución a pequeña escala se resolverá directamente.

Primero, instale el paquete de dependencia:

yum install perl-libwww-perl perl iptables

Segundo, descargue e instale CSF:

wget http: //www.configserver.com/free/csf.tgz

tar -xzf csf.tgz

cd csf

sh install.sh

Pruebe si CSF funciona:

[root @ localhost csf] # perl /etc/csf/csftest.pl

Probando ip_tables /iptable_filter. .OK

Probando ipt_LOG. .OK

Probando ipt_multiport /xt_multiport. .OK

Probando ipt_REJECT. .OK

Probando ipt_state /xt_state. .OK

Probando ipt_limit /xt_limit. .OK

Probando ipt_recent. .OK

Probando xt_connlimit. .OK

Probando ipt_owner /xt_owner. .OK

Probando iptable_nat /ipt_REDIRECT. .OK

Probando iptable_nat /ipt_DNAT. .OK

RESULTADO: csf debería funcionar en este servidor

Cuarto, configuración de csf:

El archivo de configuración de CSF es

vim /etc /csf /csf.conf

# Permitir puertos TCP entrantes

# Se recomienda que cambie el puerto predeterminado (22) de SSH a otro puerto, pero asegúrese de agregar el nuevo puerto a la siguiente línea.

TCP_IN = " 20,21,47,81,1723,25,53,80,110,143,443,465,587,993,995〃

# Permitir TCP saliente Al igual que arriba, agregue el puerto de inicio de sesión SSH a la siguiente línea.

# En algunos programas que requieren la apertura de un rango de puertos, como el modo pasivo de Pureftpd, puede abrir puertos en el rango de 30000-35000 usando un modo similar a 30000: 35000.

TCP_OUT = <; 20,21,47,81,1723,25,53,80,110,113,443〃

# Permitir puertos UDP entrantes

UDP_IN = " 20,21,53〃

# Permitir puertos UDP salientes

# Para permitir el seguimiento de ruta saliente, agregue 33434: 33523 a esta lista

UDP_OUT = " 20, 21,53,113,123〃

# Permitir PING entrante Ya sea para permitir que otros hagan ping a su servidor, el valor predeterminado es 1, permitido. 0 no está permitido.

ICMP_IN = " 1〃

Estas configuraciones se entienden a simple vista. A continuación se muestran algunas de las más utilizadas:
Previous12Next Total 2 Pages