我有一台 Linux 网站托管服务器,其 DDOS 攻击严重。我想使用Cisco ASA 5500 系列自适应安全设备保护 Linux 服务器免受 DDOS 攻击。我知道在选择合适的硬件防火墙之前,您应该了解很多因素,例如 DDOS 和 pps 的数量等
请推荐一个 Linux 工具来衡量这些因素并帮助我收集所需的信息(pps - DDOS 数量 - 并发连接和其他因素)
问候,
答案1
有许多 Linux 工具可以帮助您收集有关 DDOS 和其他攻击的信息。
一个简单的免费解决方案是失败禁止。
Fail2ban 是一个用 Python 编程语言编写的入侵防御框架。它能够在具有本地安装的数据包控制系统或防火墙接口的 POSIX 系统上运行(例如 iptables 或 TCP Wrapper)。
保护 Apache 的示例:
编辑/etc/fail2ban/jail.conf以添加:
[http-get-dos]
enabled = true
port = http,https
filter = http-get-dos
logpath = /var/log/apache2/access.log
maxretry = 300
findtime = 300
#ban for 25 hours
bantime = 600
action = iptables[name=HTTP, port=http, protocol=tcp]
接下来,创建文件/etc/fail2ban/filter.d/http-get-ddos.conf::
# Fail2Ban configuration file
[Definition]
# Option: failregex
# Note: This regex will match any GET entry in your logs, so basically all valid and not valid entries are a match.
# You should set up in the jail.conf file, the maxretry and findtime carefully in order to avoid false positives.
failregex = ^ -.*GET
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
检查/var/log/fail2ban.log通知并查看其是否正常工作。