- 爬虫很烦人,dos攻击更烦人,今天公司一个裸站被dos攻击了,简单记录一下;
- iptables是Linux上常用的防火墙软件,使用 iptables 封 IP,是一种比较简单的应对网络攻击的方式,也算是比较常见,但其使用链表作为数据结构,效率很低,复杂度都是O(n);
- ipset 提供了把这个 O(n) 的操作变成 O(1) 的方法:就是把要处理的 IP 放进一个集合,对这个集合设置一条 iptables 规则。像 iptable 一样,IP sets 是 Linux 内核中的东西,ipset 这个命令是对它进行操作的一个工具。
所以封禁策略分三步:iptables启用封禁规则,检测坏IP,添加坏IP到封禁规则中
可以用这几条命令概括使用 ipset 和 iptables 进行 IP 封禁的流程
ipset create ipban hash:ip
iptables -I INPUT -m set --match-set ipban src -j DROP
ipset add ipban 4.5.6.7
ipset add ipban 1.2.3.4
ipset add ipban ...
ipset list ipban # 查看 ipban 集合的内容
规则可以实现建立好(注意iptables和ipset都是存内存数据,重启失效,可以持久化,如果规则不复杂可以开机时运行启动脚本加入规则);
ip检测需要自动化
整个防dos功能就做好了
主要记录一下命令:
iptables
查看:iptables -L -n -v --line-numbers
封禁:iptables -I INPUT -s 123.45.6.0/24 -j DROP
ipset
ipset create ipban hash:ip,port hashsize 4096 maxelem 1000000 timeout 100 #加入集合
ipset del ipban x.x.x.x # 从 yoda 集合中删除内容
ipset list ipban # 查看 yoda 集合内容
ipset list # 查看所有集合的内容
ipset flush ipban # 清空 yoda 集合
ipset flush # 清空所有集合
ipset destroy ipban # 销毁 yoda 集合
ipset destroy # 销毁所有集合
ipset save ipban # 输出 yoda 集合内容到标准输出
ipset save # 输出所有集合内容到标准输出
ipset restore # 根据输入内容恢复集合内容
联合
iptables -I INPUT -m set --match-set ipban src -j DROP