欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

linux利用CSF防火墻屏蔽惡意請(qǐng)求

 更新時(shí)間:2017年05月22日 10:00:55   作者:Myths  
本篇文章主要介紹了linux利用CSF防火墻屏蔽惡意請(qǐng)求,小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧

問(wèn)題
最近不知道為什么,惡意代理的請(qǐng)求數(shù)越來(lái)越多,明明我返回的都是403Forbidden,但是由于數(shù)量實(shí)在龐大,還是消耗了我大量的帶寬和資源。之前的方法已經(jīng)沒(méi)有用了,想了半天還是研究研究防火墻吧,雖然僅僅靠Apache也能對(duì)某些IP進(jìn)行黑名單設(shè)置,但是感覺(jué)還是有點(diǎn)麻煩的。比如最常見(jiàn)的用iptables,或者是ufw,雖然都能很好的做到管理,但是他們基本都需要一條一條的加,十分麻煩。

網(wǎng)上搜索了下,找到了一個(gè)挺方便的小工具–CSF(ConfigServer & Security Firewall),這個(gè)工具據(jù)說(shuō)除了能夠方便的管理IP blacklist,而且也能稍加配置抵御一定量的DDOS攻擊。

安裝
工具本身可以在csf工具的官網(wǎng)上下載。

下載并解壓后可以參考其中的install.txt的說(shuō)明進(jìn)行安裝,講的簡(jiǎn)潔而且詳細(xì),注意給權(quán)限就行。需要說(shuō)明的是,這個(gè)工具其實(shí)也是基于iptables,只是簡(jiǎn)化了命令而已。

關(guān)于ddos的防護(hù)

根據(jù)readme.txt的描述,進(jìn)行ddos防護(hù)的功能主要是靠/etc/csf/csf.conf中的配置進(jìn)行控制的,尤其是當(dāng)中的PORTFLOOD參數(shù),一般都進(jìn)行如下設(shè)置:

#Syntax for the PORTFLOOD setting:
#PORTFLOOD is a comma separated list of:
port;protocol;hit count*;interval seconds
#So, a setting of PORTFLOOD = "22;tcp;5;300,80;tcp;20;5" means:
#1. If more than 5 connections to tcp port 22 within 300 seconds, then block
#that IP address from port 22 for at least 300 seconds after the last packet is
#seen, i.e. there must be a "quiet" period of 300 seconds before the block is
#lifted
#2. If more than 20 connections to tcp port 80 within 5 seconds, then block
#that IP address from port 80 for at least 5 seconds after the last packet is
#seen, i.e. there must be a "quiet" period of 5 seconds before the block is
#lifted

這個(gè)可以根據(jù)個(gè)人需要修改。

關(guān)于black list

blacklist 就在/etc/csf/csf.deny里,可以有多種書(shū)寫(xiě)方式,在該文件的頂部描述的十分清楚:

###############################################################################
# Copyright 2006-2017, Way to the Web Limited
# URL: http://www.configserver.com
# Email: sales@waytotheweb.com
###############################################################################
# The following IP addresses will be blocked in iptables
# One IP address per line
# CIDR addressing allowed with a quaded IP (e.g. 192.168.254.0/24)
# Only list IP addresses, not domain names (they will be ignored)
#
# Note: If you add the text "do not delete" to the comments of an entry then
# DENY_IP_LIMIT will ignore those entries and not remove them
#
# Advanced port+ip filtering allowed with the following format
# tcp/udp|in/out|s/d=port|s/d=ip
#
# See readme.txt for more information regarding advanced port filtering
#

簡(jiǎn)要概括就是每一行代表一個(gè)ip,也可以代表一個(gè)ip段(CIDR),而且我們也可以加注釋?zhuān)踔量梢灾付ǘ丝诤蛥f(xié)議。
最后,在做出修改后想要生效記得用csf -r命令。

針對(duì)惡意代理請(qǐng)求的防護(hù)方案

當(dāng)然,我用這個(gè)的目的是為了根本解決之前的惡意代理占用帶寬的問(wèn)題。有了這個(gè)工具,就可以十分輕松的進(jìn)行控制了,思路如下:

  1. 首先,搜索Apache的log(/var/log/apache2/access.log),查找所有應(yīng)被屏蔽的log條目(我這里指的是所有被403的請(qǐng)求)。
  2. 然后,提取每條Log記錄對(duì)應(yīng)的ip地址。
  3. 對(duì)結(jié)果進(jìn)行排序去重,生成black list。
  4. blacklist 寫(xiě)入csf.deny
  5. 重啟csf防護(hù)服務(wù)。

實(shí)現(xiàn)起來(lái)超級(jí)簡(jiǎn)單:

復(fù)制代碼 代碼如下:

root@server:~# cat /var/log/apache2/access.log |grep \ 403\ |awk '{print $1}'|sort|uniq >> /etc/csf/csf.deny

可以手動(dòng)查看下結(jié)果是否正確,確認(rèn)之后既可以csf -r重啟服務(wù)了。

以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。

  • 解決Linux可執(zhí)行文件目錄下明明存在*.so文件,但卻提示找不到

    解決Linux可執(zhí)行文件目錄下明明存在*.so文件,但卻提示找不到

    這篇文章主要介紹了解決Linux可執(zhí)行文件目錄下明明存在*.so文件,但卻提示找不到問(wèn)題,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2023-11-11
  • Linux下rz/sz安裝及使用方法示例

    Linux下rz/sz安裝及使用方法示例

    這篇文章主要介紹了Linux下rz/sz安裝及使用方法示例,詳細(xì)的介紹了如何使用和安裝rz/sz,具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下
    2018-06-06
  • linux防墻iptables詳細(xì)介紹、配置方法與案例

    linux防墻iptables詳細(xì)介紹、配置方法與案例

    這篇文章主要介紹了linux防墻iptables詳細(xì)介紹、配置方法與案例,需要的朋友可以參考下
    2020-02-02
  • APACHE支持.htaccess偽靜重寫(xiě)出錯(cuò) No input file specified的解決方案

    APACHE支持.htaccess偽靜重寫(xiě)出錯(cuò) No input file specified的解決方案

    這篇文章主要介紹了APACHE支持.htaccess偽靜重寫(xiě)出錯(cuò) No input file specified的解決方案,需要的朋友可以參考下
    2016-09-09
  • 在Ubunt16.04上安裝LAMP的方法

    在Ubunt16.04上安裝LAMP的方法

    這篇文章主要介紹了在Ubunt16.04上安裝LAMP的方法,小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧
    2018-05-05
  • shell 命令行中操作HBase數(shù)據(jù)庫(kù)實(shí)例詳解

    shell 命令行中操作HBase數(shù)據(jù)庫(kù)實(shí)例詳解

    這篇文章主要介紹了 shell 命令行中操作HBase數(shù)據(jù)庫(kù)實(shí)例詳解的相關(guān)資料,需要的朋友可以參考下
    2016-11-11
  • linux下php-fpm開(kāi)啟關(guān)閉使用方法

    linux下php-fpm開(kāi)啟關(guān)閉使用方法

    自php5.3.3開(kāi)始,php源碼中包含了php-fpm,不需要單獨(dú)通過(guò)補(bǔ)丁的方式安裝php-fpm,在源碼安裝的時(shí)候直接 configure 中增加參數(shù) –enable-fpm即可,使用方法如下
    2014-03-03
  • 詳解如何在Linux上一次性批量重命名一組文件

    詳解如何在Linux上一次性批量重命名一組文件

    這篇文章主要介紹了詳解如何在Linux上一次性批量重命名一組文件,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
    2019-11-11
  • 詳解為新版Apache服務(wù)器開(kāi)啟HTTP/2支持的方法

    詳解為新版Apache服務(wù)器開(kāi)啟HTTP/2支持的方法

    這篇文章主要介紹了在A(yíng)pache服務(wù)器中開(kāi)啟HTTP/2的方法,HTTP/2被稱(chēng)為未來(lái)的新HTTP協(xié)議,需要的朋友可以參考下
    2015-12-12

    • 最新評(píng)論