作者主題: 關於砍站 (閱讀 200770 次)

Darkhero · « **回覆 #120 於:** 2004-06-09 14:31 »

剛剛去看了您的圓球城市...
真是非常棒的籃球運動資訊網站...

希望梁楓大大的程式能幫上你的忙...讓你的網站更穩定更好..^_^...

rbcteam · « **回覆 #121 於:** 2004-06-09 14:50 »

再請教梁楓兄
我是設每5分鐘跑一次，
只要有 15 個連線就攔截

不過在用手動執行時
有時會出現以下訊息(IP 的部分會不同)：

ipfw: getsockopt(IP_FW_ADD): Protocol not available
ipfw: getsockopt(IP_FW_ADD): Protocol not available
/sbin/ipfw add 950 deny IP from 202.136.164.105 to me
這是代表執行成功嗎?
還有一個問題是，
如果要看 log 該看那一個?
我想知道攔到那些 IP 的話要如何得知?

謝謝

梁楓 · « **回覆 #122 於:** 2004-06-09 14:58 »

設15 個連結我比較怕只要有 NAT 就可能會超過，稍微在用大一點吧！

看來你的ipfw 並沒有啟動？
在終端機下只打“ipfw show”給我看一下？

rbcteam · « **回覆 #123 於:** 2004-06-09 15:53 »

訊息如下：
su-2.05b# ipfw show
ipfw: getsockopt(IP_FW_GET): Protocol not available
沒有啟動的話，該如何啟動?

梁楓 · « **回覆 #124 於:** 2004-06-09 16:22 »

沒有啟動就有點麻煩了...要用外掛的...

不然 @@ 你借我一個可以sudo 的帳號
我進去幫你看？ XD

damon · « **回覆 #125 於:** 2004-06-09 18:16 »

直接load ipfw module不就好了，搜尋一下，以前statue有貼過方法

梁楓 · « **回覆 #126 於:** 2004-06-09 19:04 »

damon 對一個真的不懂freebsd的人，要做那些還是有難度的...
* 主要是我懶的一個一個把指令背出來啦...

Darkhero · « **回覆 #127 於:** 2004-06-10 10:20 »

引述: "梁楓"

主要是我懶的一個一個把指令背出來啦...

我想這才是重點....

netman · « **回覆 #128 於:** 2004-06-10 13:30 »

今天 phorum 好慢....
我用 route add -host x.x.x.x 127.0.0.1 將一些線斷掉才好轉。
看來又被砍了，小基加油啊~~~

梁楓 · « **回覆 #129 於:** 2004-06-10 13:45 »

現在砍站只有直接檢查同時間有幾個同IP的上線
我設為超過50個才給他deny掉！

應該是因為這樣吧，因為是用netstat 得到訊息
所以恐怕不知道那邊是經過nat上來的 ><
怕會誤砍！

DannisChen · « **回覆 #130 於:** 2004-07-01 11:03 »

梁兄:

代碼: [選擇]


                system("$SBIN_PATH"."ipfw add $IPFW_Number deny IP from $IP[2] to me"); 
                system("$SBIN_PATH"."ipfw add $IPFW_Number deny IP from me to $IP[2]");

第二行有效嗎? 我這裡 ipfw show 的結果
12345 23809 1112825 deny ip from 4.23.29.135 to me
12345 0 0 deny ip from me to 4.23.29.135

第二段永遠是 0 蛋

DannisChen · « **回覆 #131 於:** 2004-07-01 11:22 »

再問一下:
如果我不要 ban 掉某個 ip , 這樣子改可以嗎? 我不會寫 perl , 請協助謝謝.

代碼: [選擇]


        if($IP[1] >= $Max_Connect_Number){
                chomp($IP[2]);
                if($IP[2] <> "xxx.xxx.xxx.xxx"){
                        system("$SBIN_PATH"."ipfw add $IPFW_Number deny IP from $IP[2] to me");
                        system("$SBIN_PATH"."ipfw add $IPFW_Number deny IP from me to $IP[2]");
                        print "$SBIN_PATH"."ipfw add $IPFW_Number deny IP from $IP[2] to me\n";
                }
        }

梁楓 · « **回覆 #132 於:** 2004-07-01 13:09 »

引述: "DannisChen"

梁兄:
代碼: [選擇]
system("$SBIN_PATH"."ipfw add $IPFW_Number deny IP from $IP[2] to me"); system("$SBIN_PATH"."ipfw add $IPFW_Number deny IP from me to $IP[2]");

第二行有效嗎? 我這裡 ipfw show 的結果
12345 23809 1112825 deny ip from 4.23.29.135 to me
12345 0 0 deny ip from me to 4.23.29.135

第二段永遠是 0 蛋

這二個有不同的效果
一個是由本地到遠端
一個是由逺端到本地

為的是避免ban掉的時候，對方在傳大檔

另
比如你的防火牆規則在12345條，你不想ban掉的只要設在12345之前就行了

kingbbs · « **回覆 #133 於:** 2004-10-07 09:27 »

請問一下~

CL_U: 75 <--- 我已經設到 80
CL_S: 10 <--- 這也設到 30
HC_N: 300 <--- 這個加到 2000
HC_U: 30 <--- 這固加到 255

每5分 run 一次，結果沒30分鐘，大約就擋下了近 100 個 IP ..@@
針對線上總人數約 600~900 人的 server 來說，這好像誤擋率滿高的..
是否可以請教各位，指點一下小弟該如何去設定呢 ?

OS -> Fedora RC1
HW -> P4-1.8G + 512ECC RAM

在人多時，隨便被砍一下 loading 就破 300 了...

netman · « **回覆 #134 於:** 2004-10-07 11:30 »

嗯, 我的 script 只適用在"小站"啦...
若是訪問量太高, 用 shell script 本身就是一個錯誤... ^_^

kingbbs · « **回覆 #135 於:** 2004-10-07 16:43 »

引述: "netman"

嗯, 我的 script 只適用在"小站"啦...
若是訪問量太高, 用 shell script 本身就是一個錯誤... ^_^

您就別客氣了~ 就請指導一下小弟，該怎麼去調整即吧

..

像鳥哥的網站有時也是數百人在線上，還是小弟該改用鳥哥的 script 呢 ?

netman · « **回覆 #136 於:** 2004-10-07 16:59 »

嗯, 不是客氣啦...
因為流量大時, 處理的資料很多, 用 shell script 會應付不來.
若你能解決問題就最好, 用誰寫的都可以...

yeh105 · « **回覆 #137 於:** 2004-12-15 02:43 »

Deaar 各位大大,

因我是菜鳥可否問一下安裝步驟呢是用ROOT 設 crotab
及直接跑他就好了嗎,有沒要新增檔案或其他注意的.
不好意思問那基本問題因我不懂會怕怕可否指導一下謝謝 ..

netman · « **回覆 #138 於:** 2004-12-15 12:50 »

是的, 將 script 裝好後, 就設定 crontab 就行了.
只是偷懶一直沒寫好設定細節, 你或可參考前面的討論看看的.

此外, 另一好友 song 兄亦提出過他的修改版本, 很值得大家參觀:
http://www.ossacc.org/Members/song/about_block.http.sh

bjhuang · « **回覆 #139 於:** 2005-02-06 02:34 »

這是我的netstat -na部分結果,大部分的IP都是不完整的,不知道為何會這樣?這種IP似乎用這隻script檔不到,有辦法解決嗎?

代碼: [選擇]


tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:1469 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:3517 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:66.249.64.:40927 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:2165 ESTABLISHED
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4214 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:3881 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4268 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4387 ESTABLISHED
tcp        0    234 ::ffff:220.135.58.20:80 ::ffff:205.250.15:63667 ESTABLISHED
tcp        0    631 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4259 ESTABLISHED
tcp        0    627 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4261 ESTABLISHED
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4198 TIME_WAIT
tcp        0    631 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4248 ESTABLISHED
tcp        0    631 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4254 ESTABLISHED
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:66.249.64.:52346 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4048 ESTABLISHED
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:61.229.217.:4670 TIME_WAIT
tcp        0    625 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4297 ESTABLISHED
tcp        0    629 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4298 ESTABLISHED
tcp        0   1185 ::ffff:220.135.58.20:80 ::ffff:205.250.15:61913 ESTABLISHED
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:3906 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:211.74.62.2:2136 TIME_WAIT
tcp        0     52 ::ffff:220.135.58.20:22 ::ffff:218.166.205:4197 ESTABLISHED
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:1671 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:1286 ESTABLISHED
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:66.249.64.:64849 TIME_WAIT
u

netman · « **回覆 #140 於:** 2005-02-13 01:23 »

sorry, 若 IP 不完整, 那我的 script 就沒用了~~~

rexkyo · « **回覆 #141 於:** 2005-07-07 18:17 »

各位學長大家好 ^^"
因為公司這陣子有需要用到防砍站測試~
系統:Fedora 3
下載最新版後~ 執行結果如下!
這樣是正常的嗎@@"
我是用另依台電腦作砍站測試~

代碼: [選擇]

[root@localhost /]# sh block.http.sh
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
        limit   current
CL_U:   5       92
CL_S:   1       7
HC_N:   200     190
HC_U:   20      1
TW_N:   20      210

paicaso · « **回覆 #142 於:** 2006-09-29 20:27 »

可請大大再提供一下檔案嗎

paicaso · « **回覆 #143 於:** 2006-10-01 02:20 »

http://study-area.org/linux/src/block.http.sh.tgz

paicaso · « **回覆 #144 於:** 2006-10-01 03:03 »

請問與鳥哥之"砍站軟體與 Nimda 病毒的抵擋 scripts："
http://linux.vbird.org/linux_server/0360apache.php#getsites
以防火牆方式來阻擋這些惡意IP之主要差異有哪些
謝謝

netman · « **回覆 #145 於:** 2006-10-01 16:31 »

to rexkyo :
連續多跑幾次就會發現效果了... ^_^

to paicaso:
鳥哥的 script 我沒詳細研究過.
不過, 我猜原理都差不多: 先按條件抓出 IP, 然後擋掉.

p.s.
我的這隻 script 好久沒維護了. 現在或許有更方便更有效的方法吧?

shchin · « **回覆 #146 於:** 2006-10-05 12:18 »

目前用FC4 LINUX
TW_N設20 不過TIME_WAIT也會出現一二百個不知道什麼原因?
另外這程式能不能擋過多的SYN_RECV ? 因為 SYN_REVC我都有好幾百個
我這個小站最多就30多人
跑那麼多SYN_REVC 應該是被SYN攻擊了
用SYN_COOKIE 設1 好像沒用@@
這二天被煩死
想說這程式可能有點用
不過還是速度還是快不起來
有沒有什麼好方法
查了所有SYN的防禦
用了好像都沒用

最新消息:

作者 主題: 關於砍站 (閱讀 200770 次)

作者主題: 關於砍站 (閱讀 200770 次)