说明:博客这几天一直在被CC
攻击,然后让朋友帮忙写了个防CC
攻击脚本,并添加了微信方糖提醒功能,这里就分享下。
CC Attack Protector
每10
秒钟检测一次指定网站日志,如果超过预设限制的(在单位时间请求数以及请求大小层面)会在防火墙层面进行阻止,并运用微信Server
酱进行通知。
说明
1、请记得开启站点的日志记录,而且面板用户要注意检查并取消掉“静态文件的access_log off
”,也就是所有访问都要记录日志,以确保最佳的防CC
效果。
2、日志的开头的格式必须为例如x.x.x.x - - [22/Nov/2017:13:20:02 -0500] "GET /xxxxxx HTTP/1.1" 200 3386
,也就是IP
在首列,时间格式与此示例相同,请求URL
在第七列,请求长度在第十列,一般nginx
日志的默认格式应该是这样,如果是其他的服务器软件或者日志格式不同请根据自己的情况魔改ddos.sh
里的相关截取日志信息的代码。
3、建议定期分割日志,例如使用crontab
一天分割一次,以确保脚本检测效率。
4、一旦有新IP
被封禁,会输出封禁信息(当你回到screen
后就可以看到),同时会输出日志到cc.log
中。
5、如果想解封IP
,可以执行bash ban.sh -ua
,这样会解封所有IP
。
6、关于ban.sh
这个脚本还能做到的其他事情,请直接bash ban.sh
查看。
7、如果Centos
,那么可能需要在ban.sh
中操作防火墙之后重启一下防火墙,因为Centos
防火墙修改规则之后不是即时生效的。对于Centos 7
需要将防火墙firewall
替换成iptables
。
8、重启VPS
后,记得使用screen
命令,重新启动脚本。
截图
1、SSH后台监控
触发机制后自动ban
掉ip
。
2、微信提醒
触发机制并微信通知。
使用
本脚本理论上Ubuntu
和Debian
都可以直接使用,CentOS
请看说明,按要求修改。
git clone https://github.com/Tsuk1ko/CC-attack-protector.git
cd CC-attack-protector
然后修改ddos.sh
前面的配置内容,根据注释说明修改即可!
#配置
LOG_FILES="/www/wwwlogs/*.log" #指定日志文件
SCKEY="" #Server酱服务的SCKEY,用于通知CC攻击情况
LIMIT_REPEAT=20 #重复的请求次数,超过直接封
LIMIT_TIMES=50 #否则,在10秒内超过这么多连接日志数的会进入检测,并且满足下面这个条件的会被封禁
LIMIT_FLOW=62914560 #请求大小之和 62914560 = 60MiB
关于微信通知,不知道方糖Server
酱的,去首页https://sc.ftqq.com
按要求申请SCKEY
然后填入即可!
其实一般情况下关于CC
攻击判断的设置并不用动,如果发现封禁效果与理想有差异再修改!
建议使用screen
来运行
#没有screen就安装
apt-get install screen
screen -S CC
#运行
bash run.sh
然后按下Ctrl+A
,再按下D
,即可退出screen
界面。
想回去的话就
#查看会话
screen -ls
#回去该会话
screen -r 会话名称
如果网站大文件过多,容易造成误判,建议限制IP
并发连接数以及下载带宽,然后将CC
脚本配置文件里的LIMIT_REPEAT=20
可以设置为35
或40
。线程具体设置如下:
#先去nginx.conf文件http{}里加上如下代码
limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;
#再去xx.com.conf文件server{}里添加如下代码,分别为总线程,单个ip线程和单线程最大速度
limit_conn perserver 300;
limit_conn perip 25;
limit_rate 512k;
不会切割日志的,按时清空网站日志文件就可以了,使用命令echo "" >/home/wwwlogs/www.moerats.com.log
即可,后面为网站日志文件路径,配合定时Crontab
就可以了,参考:Linux系统Crontab的安装及定时任务的命令详解。
测试是否正常监控
当你配置好脚本后,可以使用bash run.sh --test
命令来测试脚本是否有正常监控。
当你使用--test
参数运行run.sh
脚本后,访问自己的网站,如果脚本有正常监控,那么每间隔10
秒会输出一次监控到的访问记录,大概像这个样子。
Start protecting...
[Test mode]
#时间 访问量 重复访问次数 IP
[18/Jan/2018:13:36:3x] 1 1 x.x.x.x
[18/Jan/2018:13:36:4x] 15 1 x.x.x.x
[18/Jan/2018:13:37:1x] 20 5 x.x.x.x
Github地址:https://github.com/Tsuk1ko/CC-attack-protector,有问题的请去Github
反馈。