本插件能实现在受到 cc、syn 半连接等拒绝服务攻击时,进行比较有效的防御。实际上,它并不具备阻截能力,它是基于 IPtables 防火墙,利用 netstat+过滤规则,与 IPtables防火墙实现联动。在有恶意拒绝服务攻击时,本软件会实时分析连接来源的企图。当连接IP 有明显的非正常连接时,插件自动将其加入 iptables 防火墙条目进行阻截。同时将攻击IP 记录到计划解封文件里,当达到预定时间后,插件自动从 IPtables 防火墙中解封对应IP。在基本测试过程中,应付单 IP 并发连接攻击、单 IP 的 syn flood 等效果明显。但它并不适合于随机伪造 IP 的恶意攻击,但能对抗轻量 DDOS。
本软件利用了一周时间写完,在基本测试过程中,表现还可以。但不排除有BUG的可能。
系统结构图
安装使用:
本软件安装方式十分简单,下载软件后解压(tar zxvf DDos_firewall-v1.0.0.tar.gz),进入主目录,找到autosetup.sh,运行自动安装即可!
运行环境:
CentOS 32bit or 64bit 、RedHat 32bit or 64bit、Fedora 32bit or 64bit,其他linux未测试。
启动方式:
dd_start {start|stop|restart|status}
软件需安装到指定路径下(/usr/local/),安装好的目录有:
/usr/local/ddos_drop/bin,为执行文件目录
/usr/local/ddos_drop/conf,配置文件目录
/usr/local/ddos_drop/logs,记录文件目录
提供下载的为打包C文件,需要经过gcc编译。启动autosetup.sh 即可完成gcc编译和安装!
软件下载:
用户名与密码都是
具体下载目录在 /pub/2011/08/09/基于iptable防御DDos攻击的插件/