针对少量ip大量连接方式对网站攻击的简单处理方案

针对少量ip大量连接方式对网站攻击的简单处理方案（Apache mod_limitipconn, Iptalbles,dynfw）

以下只是针对针对少量ip大量连接的初级的攻击方式有一定效果，
截取自针对朋友网站真实情况的一些处理方法。

1、Apache:
mod_limitipconn模块，mod_limitipconn的相信配置，请参考：http://dominia.org/djao/limitipconn2.html
配置如下：
LoadModule limitipconn_module modules/mod_limitipconn.so
<IfModule mod_limitipconn.c>
    <Location />
        MaxConnPerIP 25
    </Location>
</IfModule>
对单个ip对服务器页面的连接数量限制为25以内，超过25，会给用户返回503错误；
此限制主要针对的连接状态主要为ESTABLISHED；
此限制不会把用户ip加入黑名单。

2、iptables：
结合dynfw使用，dynfw的详细使用请参考：http://www.gentoo.org/proj/en/dynfw.xml
相关脚本实现请参考以下文件：
此配置限制单个ip对服务器80端口的socket连接（包含各种连接状态，如time_wait,FIN_WAIT2，ESTABLISHED等等），减轻服务器的网络压力，及对apache的连接数的占用。
此配置的限制数量为50，超过50个连接的用户将被加入黑名单；

（此处实现，其实可以通过iptables的 iplimit 模块实现，并且在效率和灵活性上都会更好，但使用此扩展需要重新编译内核模块，并且需要重新启动操作系统，对我的生产环境不太适合，因此采用了这个笨方法实现此功能。iplimit 的详细情况请参考http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html）

另外，关于黑名单的处理，可以考虑定期对过期的iptables黑名单进行清空处理，可以采用ipdrop off，或者直接清空iptables的相关规则，应为此类ip大多是adsl的动态ip。

3、相关脚本文件：
[root@TServer drop_ip]# ls
do_drop.sh  get_cnt.sh  get_conn_ip.sh  to_drop.sh
[root@TServer drop_ip]# for File in `ls`; do echo "############"; echo $File; echo "############" ; cat $File ; done
############
1）do_drop.sh
############
#!/bin/sh
PATH=/bin:/usr/bin:/sbin:/usr/sbin:/usr/local/bin:/usr/local/sbin
cd /home/cl/ipt/drop_ip
./to_drop.sh 192.168.10.209 80
############
2）get_cnt.sh
############
#!/bin/sh
if [ $# -ne 2 ]; then
echo "Usage $0 IP Port"
exit 101
fi
gip=$1
gport=$2
./get_conn_ip.sh $gip $gport  | sort  | uniq -c | sort -n -r
############
3）get_conn_ip.sh
############
#!/bin/sh
if [ $# -ne 2 ]; then
echo "Usage $0 IP Port"
exit 101
fi
gip=$1
gport=$2
netstat -an | grep "$gip":"$gport" | awk ‘{print $5}’ | sed  ’s/\:\:ffff\://g’ | awk -F ":" ‘{print $1}’
############
4）to_drop.sh
############
#!/bin/sh
if [ $# -ne 2 ]; then
echo "Usage $0 IP Port"
exit 101
fi
gip=$1
gport=$2

DropLog=./drop.log
CntLog=./cnt.log
BIPList=./bip.list
LimitCnt=20

echo "#######################" >> $DropLog
date >> $DropLog
./get_cnt.sh $gip $gport > $CntLog
while read record
do
bcnt=$(echo "$record" | awk ‘{print $1}’)
bip=$(echo "$record" | awk ‘{print $2}’)
if [ $bcnt -ge $LimitCnt ]; then
echo "$record" >>$DropLog
echo $bcnt>>$DropLog
echo $bip>>$DropLog
echo $bip>>bip.list
echo ipdrop $bip on >>$DropLog
/usr/local/sbin/ipdrop $bip on >>$DropLog
else
echo "Finished." >>$DropLog
exit 0
fi
done < $CntLog
[root@TServer drop_ip]#

注解：
A. 其中do_drop.sh是入口文件。
在这个文件中，需要指定限制的ip及端口，如果需要对192.168.10.10.209的80端口的连接做限制，则可以执行 ./to_drop.sh 192.168.10.209 80。

B. 可以通过crontab定期执行该文件，如每5分钟一次，来对ip的连接数量做限制，如：
[root@TServer drop_ip]# crontab -l
*/5 * * * *  /home/cl/ipt/drop_ip/do_drop.sh
或者通过入口shell自己控制，不过还是推荐使用crontd方式。
C. 相关的日志文件及list文件（存放已经被drop的黑名单）会自动产生