作者 主題: 關於砍站  (閱讀 194123 次)

0 會員 與 1 訪客 正在閱讀本文。

Darkhero

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3728
  • 性別: 男
    • 檢視個人資料
    • ㄚ凱隨手紀
關於砍站
« 回覆 #120 於: 2004-06-09 14:31 »
剛剛去看了您的圓球城市...
真是非常棒的籃球運動資訊網站...

希望梁楓大大的程式能幫上你的忙...讓你的網站更穩定更好..^_^...
希望我們的討論是為了把問題解決,而不是爭論誰對誰錯.
『灌水才是重點,發文只是順便』
『我寧可讓不會釣魚的工程師餓死,也不想讓會餓死的工程師去攪沉公司....』
Blog: http://blog.darkhero.net/
秘密基地: http://www.darkhero.net/comic/
目前服務的網站: http://www.libook.com.tw/

rbcteam

  • 可愛的小學生
  • *
  • 文章數: 5
    • 檢視個人資料
    • http://www.roundballcity.com/
關於砍站
« 回覆 #121 於: 2004-06-09 14:50 »
再請教 梁楓 兄
我是設 每5分鐘跑一次,
只要有 15 個連線就攔截

不過在用手動執行時
有時會出現以下訊息(IP 的部分會不同):

ipfw: getsockopt(IP_FW_ADD): Protocol not available
ipfw: getsockopt(IP_FW_ADD): Protocol not available
/sbin/ipfw add 950 deny IP from 202.136.164.105 to me
這是代表執行成功嗎?
還有一個問題是,
如果要看 log 該看那一個?
我想知道攔到那些 IP 的話要如何得知?

謝謝

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
關於砍站
« 回覆 #122 於: 2004-06-09 14:58 »
設15 個連結我比較怕只要有 NAT 就可能會超過,稍微在用大一點吧!

看來你的ipfw 並沒有啟動?
在終端機下只打“ipfw show”給我看一下?

rbcteam

  • 可愛的小學生
  • *
  • 文章數: 5
    • 檢視個人資料
    • http://www.roundballcity.com/
關於砍站
« 回覆 #123 於: 2004-06-09 15:53 »
訊息如下:
su-2.05b# ipfw show
ipfw: getsockopt(IP_FW_GET): Protocol not available
沒有啟動的話,該如何啟動?

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
關於砍站
« 回覆 #124 於: 2004-06-09 16:22 »
沒有啟動就有點麻煩了...要用外掛的...

不然 @@ 你借我一個可以sudo 的帳號
我進去幫你看? XD

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
關於砍站
« 回覆 #125 於: 2004-06-09 18:16 »
直接load ipfw module不就好了,搜尋一下,以前statue有貼過方法

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
關於砍站
« 回覆 #126 於: 2004-06-09 19:04 »
damon 對一個真的不懂freebsd的人,要做那些還是有難度的...
* 主要是我懶的一個一個把指令背出來啦...

Darkhero

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3728
  • 性別: 男
    • 檢視個人資料
    • ㄚ凱隨手紀
關於砍站
« 回覆 #127 於: 2004-06-10 10:20 »
引述: "梁楓"
主要是我懶的一個一個把指令背出來啦...

我想這才是重點....
希望我們的討論是為了把問題解決,而不是爭論誰對誰錯.
『灌水才是重點,發文只是順便』
『我寧可讓不會釣魚的工程師餓死,也不想讓會餓死的工程師去攪沉公司....』
Blog: http://blog.darkhero.net/
秘密基地: http://www.darkhero.net/comic/
目前服務的網站: http://www.libook.com.tw/

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #128 於: 2004-06-10 13:30 »
今天 phorum 好慢....
我用 route add -host x.x.x.x 127.0.0.1 將一些線斷掉才好轉。
看來又被砍了,小基加油啊~~~

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
關於砍站
« 回覆 #129 於: 2004-06-10 13:45 »
現在砍站只有直接檢查同時間有幾個同IP的上線
我設為超過50個才給他deny掉!

應該是因為這樣吧,因為是用netstat 得到訊息
所以恐怕不知道那邊是經過nat上來的 ><
怕會誤砍!

DannisChen

  • 懷疑的國中生
  • **
  • 文章數: 87
    • 檢視個人資料
關於砍站
« 回覆 #130 於: 2004-07-01 11:03 »
梁兄:
代碼: [選擇]

                system("$SBIN_PATH"."ipfw add $IPFW_Number deny IP from $IP[2] to me");
                system("$SBIN_PATH"."ipfw add $IPFW_Number deny IP from me to $IP[2]");


第二行有效嗎? 我這裡 ipfw show 的結果
12345     23809      1112825 deny ip from 4.23.29.135 to me
12345         0            0 deny ip from me to 4.23.29.135

第二段永遠是 0 蛋

DannisChen

  • 懷疑的國中生
  • **
  • 文章數: 87
    • 檢視個人資料
關於砍站
« 回覆 #131 於: 2004-07-01 11:22 »
再問一下:
如果我不要 ban 掉某個 ip , 這樣子改可以嗎? 我不會寫 perl , 請協助謝謝.
代碼: [選擇]

        if($IP[1] >= $Max_Connect_Number){
                chomp($IP[2]);
                if($IP[2] <> "xxx.xxx.xxx.xxx"){
                        system("$SBIN_PATH"."ipfw add $IPFW_Number deny IP from $IP[2] to me");
                        system("$SBIN_PATH"."ipfw add $IPFW_Number deny IP from me to $IP[2]");
                        print "$SBIN_PATH"."ipfw add $IPFW_Number deny IP from $IP[2] to me\n";
                }
        }

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
關於砍站
« 回覆 #132 於: 2004-07-01 13:09 »
引述: "DannisChen"
梁兄:
代碼: [選擇]

                system("$SBIN_PATH"."ipfw add $IPFW_Number deny IP from $IP[2] to me");
                system("$SBIN_PATH"."ipfw add $IPFW_Number deny IP from me to $IP[2]");


第二行有效嗎? 我這裡 ipfw show 的結果
12345     23809      1112825 deny ip from 4.23.29.135 to me
12345         0            0 deny ip from me to 4.23.29.135

第二段永遠是 0 蛋


這二個有不同的效果
一個是由本地到遠端
一個是由逺端到本地

為的是避免ban掉的時候,對方在傳大檔


比如你的防火牆規則在12345條,你不想ban掉的只要設在12345之前就行了

kingbbs

  • 可愛的小學生
  • *
  • 文章數: 15
    • 檢視個人資料
    • http://www.saycoo.com
關於砍站
« 回覆 #133 於: 2004-10-07 09:27 »
請問一下~

CL_U: 75 <--- 我已經設到 80
CL_S: 10 <--- 這也設到 30
HC_N: 300 <--- 這個加到  2000
HC_U: 30 <--- 這固加到 255

每5分 run 一次,結果沒30分鐘,大約就擋下了近 100 個 IP ..@@
針對線上總人數約 600~900 人的 server 來說,這好像誤擋率滿高的..
是否可以請教各位,指點一下小弟該如何去設定呢 ?

OS -> Fedora RC1
HW -> P4-1.8G + 512ECC RAM

在人多時,隨便被砍一下 loading 就破 300 了...
URL=http://www.saycoo.com/dedicated.php]實體主機[/URL] | 台灣虛擬主機 | 美國虛擬主機 | 主機代管 | 聊天室 | SayCoo論壇

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #134 於: 2004-10-07 11:30 »
嗯, 我的 script 只適用在"小站"啦...
若是訪問量太高, 用 shell script 本身就是一個錯誤...  ^_^

kingbbs

  • 可愛的小學生
  • *
  • 文章數: 15
    • 檢視個人資料
    • http://www.saycoo.com
關於砍站
« 回覆 #135 於: 2004-10-07 16:43 »
引述: "netman"
嗯, 我的 script 只適用在"小站"啦...
若是訪問量太高, 用 shell script 本身就是一個錯誤...  ^_^


您就別客氣了~ 就請指導一下小弟,該怎麼去調整即吧 8) ..

像鳥哥的網站有時也是數百人在線上,還是小弟該改用鳥哥的 script 呢 ?
URL=http://www.saycoo.com/dedicated.php]實體主機[/URL] | 台灣虛擬主機 | 美國虛擬主機 | 主機代管 | 聊天室 | SayCoo論壇

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #136 於: 2004-10-07 16:59 »
嗯, 不是客氣啦...
因為流量大時, 處理的資料很多, 用 shell script 會應付不來.
若你能解決問題就最好, 用誰寫的都可以...

yeh105

  • 可愛的小學生
  • *
  • 文章數: 9
    • 檢視個人資料
可否請教安裝方法呢 不好意思
« 回覆 #137 於: 2004-12-15 02:43 »
Deaar 各位大大,

     因我是菜鳥 可否問一下 安裝步驟呢 是用ROOT 設 crotab
     及直接跑他就好了嗎,有沒要新增檔案或其他注意的.
     不好意思問那基本問題 因我不懂會怕怕 可否指導一下  謝謝 ..

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #138 於: 2004-12-15 12:50 »
是的, 將 script 裝好後, 就設定 crontab 就行了.
只是偷懶一直沒寫好設定細節, 你或可參考前面的討論看看的.

此外, 另一好友 song 兄亦提出過他的修改版本, 很值得大家參觀:
http://www.ossacc.org/Members/song/about_block.http.sh

bjhuang

  • 可愛的小學生
  • *
  • 文章數: 1
    • 檢視個人資料
關於砍站
« 回覆 #139 於: 2005-02-06 02:34 »
這是我的netstat -na部分結果,大部分的IP都是不完整的,不知道為何會這樣?這種IP似乎用這隻script檔不到,有辦法解決嗎?

代碼: [選擇]

tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:1469 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:3517 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:66.249.64.:40927 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:2165 ESTABLISHED
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4214 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:3881 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4268 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4387 ESTABLISHED
tcp        0    234 ::ffff:220.135.58.20:80 ::ffff:205.250.15:63667 ESTABLISHED
tcp        0    631 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4259 ESTABLISHED
tcp        0    627 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4261 ESTABLISHED
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4198 TIME_WAIT
tcp        0    631 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4248 ESTABLISHED
tcp        0    631 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4254 ESTABLISHED
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:66.249.64.:52346 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4048 ESTABLISHED
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:61.229.217.:4670 TIME_WAIT
tcp        0    625 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4297 ESTABLISHED
tcp        0    629 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:4298 ESTABLISHED
tcp        0   1185 ::ffff:220.135.58.20:80 ::ffff:205.250.15:61913 ESTABLISHED
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:3906 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:211.74.62.2:2136 TIME_WAIT
tcp        0     52 ::ffff:220.135.58.20:22 ::ffff:218.166.205:4197 ESTABLISHED
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:1671 TIME_WAIT
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:139.175.55.:1286 ESTABLISHED
tcp        0      0 ::ffff:220.135.58.20:80 ::ffff:66.249.64.:64849 TIME_WAIT
u

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #140 於: 2005-02-13 01:23 »
sorry, 若 IP 不完整, 那我的 script 就沒用了~~~

rexkyo

  • 可愛的小學生
  • *
  • 文章數: 1
    • 檢視個人資料
關於砍站
« 回覆 #141 於: 2005-07-07 18:17 »
各位學長大家好 ^^"
因為公司這陣子有需要用到防砍站測試~
系統:Fedora 3
下載最新版後~ 執行結果如下!
這樣是正常的嗎@@"
我是用另依台電腦作砍站測試~

代碼: [選擇]
[root@localhost /]# sh block.http.sh
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
warning, got duplicate tcp line.
        limit   current
CL_U:   5       92
CL_S:   1       7
HC_N:   200     190
HC_U:   20      1
TW_N:   20      210

paicaso

  • 憂鬱的高中生
  • ***
  • 文章數: 108
    • 檢視個人資料
關於砍站
« 回覆 #142 於: 2006-09-29 20:27 »
可請大大再提供一下檔案嗎

paicaso

  • 憂鬱的高中生
  • ***
  • 文章數: 108
    • 檢視個人資料
關於砍站
« 回覆 #143 於: 2006-10-01 02:20 »

paicaso

  • 憂鬱的高中生
  • ***
  • 文章數: 108
    • 檢視個人資料
關於砍站
« 回覆 #144 於: 2006-10-01 03:03 »
請問與鳥哥之"砍站軟體與 Nimda 病毒的抵擋 scripts:"
http://linux.vbird.org/linux_server/0360apache.php#getsites
以防火牆方式來阻擋這些惡意IP之主要差異有哪些
謝謝

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #145 於: 2006-10-01 16:31 »
to rexkyo :
連續多跑幾次就會發現效果了...  ^_^

to paicaso:
鳥哥的 script 我沒詳細研究過.
不過, 我猜原理都差不多: 先按條件抓出 IP, 然後擋掉.

p.s.
我的這隻 script 好久沒維護了. 現在或許有更方便更有效的方法吧?

shchin

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
關於砍站
« 回覆 #146 於: 2006-10-05 12:18 »
目前用FC4  LINUX
TW_N設20 不過TIME_WAIT也會出現一二百個 不知道什麼原因?
另外 這程式能不能 擋過多的SYN_RECV ? 因為 SYN_REVC我都有好幾百個
我這個小站最多就30多人
跑那麼多SYN_REVC 應該是被SYN攻擊了
用SYN_COOKIE 設1 好像沒用@@
這二天被煩死
想說這程式可能有點用
不過還是速度還是快不起來
有沒有什麼好方法
查了所有SYN的防禦
用了好像都沒用