本文详细介绍Linux系统下防御CC/DDoS攻击的实战配置方法,包括内核参数优化、防火墙规则配置、Nginx/Apache防护策略以及Fail2Ban工具应用,帮助管理员有效提升服务器抗攻击能力。
一、内核参数优化
通过调整Linux内核参数可显著提升系统抗DDoS能力:
编辑sysctl.conf文件
vi /etc/sysctl.conf
添加以下参数
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.conf.all.rp_filter = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
使配置生效
sysctl -p二、iptables防火墙配置
使用iptables建立多层级防护:
限制单个IP连接数
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP
SYN洪水防护
iptables -N SYN_FLOOD
iptables -A INPUT -p tcp --syn -j SYN_FLOOD
iptables -A SYN_FLOOD -m limit --limit 10/s --limit-burst 20 -j RETURN
iptables -A SYN_FLOOD -j DROP
保存规则
service iptables save三、Nginx防护配置
针对Web服务器的CC攻击防护:
在nginx.conf中添加
limit_req_zone $binary_remote_addr zone=anti_flood:10m rate=30r/s;
在server区块中应用
location / {
limit_req zone=anti_flood burst=50 nodelay;
limit_conn perip 20;
limit_conn perserver 100;
}四、Fail2Ban动态防御
安装配置Fail2Ban实现自动化封禁:
安装Fail2Ban
yum install fail2ban -y CentOS
apt-get install fail2ban -y Ubuntu
配置SSH防护
vi /etc/fail2ban/jail.local
[sshd]
enabled = true
maxretry = 3
bantime = 3600五、Cloudflare集成方案
结合CDN增强防护:
- 启用Cloudflare的Under Attack模式
- 配置防火墙规则拦截高危地区IP
- 设置速率限制规则(Rate Limiting)
六、监控与日志分析
关键监控命令:
实时监控网络连接
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
分析访问日志
tail -f /var/log/nginx/access.log | grep -E '404|500|503'通过以上多层防护措施的组合应用,可有效抵御大多数CC/DDoS攻击。建议定期更新规则并保持系统补丁最新。
评论