DDoS deflate是一款运行于Linux下,专门用于防止/减轻类DDOS攻击的程序。大多数DDOS攻击都是采取若干傀儡机同时对某一服务器发出大量连接请求,以耗光服务器资源的方法。

DDOS攻击的现场,目标服务器会出现难以理解的高负载、高请求数量、单IP同时发出大量请求等症状,导致的直接后果就是Service Unavailable(服务不可用)。对于大面积的DDOS攻击,采用硬件防火墙才能有效地解决问题;但对于小面积的DDOS攻击,一般软件防火墙即可。由于DDOS攻击即模拟正常的访问请求,因此攻击IP与正常访问IP并没有本质的区别(无非连接数多而已),使得小型的VPS难以防范DDOS攻击手段。

防御原理
DDoS deflate的原理是通过netstat命令找出 发出过量连接的单个IP,并使用iptables防火墙将这些IP进行拒绝。由于iptables防火墙拒绝IP的连接远比从Apache层面上来得高效,因此iptables便成了运行在Apache前端的“过滤器”。同样的,DDoS deflate也可以设置采用APF(高级防火墙)进行IP阻止。

安装方法

[root@PHPHa ~]# wget http://www.inetbase.com/scripts/ddos/install.sh
[root@PHPHa ~]# chmod +x install.sh
[root@PHPHa ~]# ./install.sh

然后会自动进行安装,完成后会有一段版权提示与说明,按q键退出即可。

卸载方法

[root@PHPHa ~]# wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
[root@PHPHa ~]# chmod +x uninstall.ddos
[root@PHPHa ~]# ./uninstall.ddos

主要功能与配置

  1. 可以设置IP白名单,在 /usr/local/ddos/ignore.ip.list 中设置即可;
  2. 主要配置文件位于 /usr/local/ddos/ddos.conf ,打开此文件,根据提示进行简单的编辑即可;
  3. DDoS deflate可以在阻止某一IP后,隔一段预置的时候自动对其解封;
  4. 可以在配置文件中设置多长时间检查一次网络连接情况;
  5. 当阻止IP后,可以设置Email提醒

配置示例

# 检测的频率为1分钟
FREQ=1
# 当单个IP超过100个连接请求时判定为DDOS
NO_OF_CONNECTIONS=100
# 如果打算使用APF阻止IP,则设置为1(需要预先安装APF);如果使用iptables,则设置为0;
APF_BAN=0
# 是否阻止
KILL=1
# 接收邮件
EMAIL_TO="mail@phpha.com"
# 阻止时长,600秒
BAN_PERIOD=600

标签:CentOS