ipset更新list腳本
① 防禦DDoS攻擊的幾種好用的方式
隨著Internet互聯網路帶寬的增加和多種DDoS黑客工具的不斷發布,DDoS拒絕服務攻擊的實施越來越容易,DDoS攻擊事件正在成上升趨勢。出於商業競爭、打擊報復和網路敲詐等多種因素,導致很多IDC託管機房、商業站點、游戲伺服器、聊天網路等網路服務商長期以來一直被DDoS攻擊所困擾,隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業損失等一系列問題,因此,解決DDoS攻擊問題成為網路服務商必須考慮的頭等大事。
DDoS是英文Distributed Denial of Service的縮寫,意即分布式拒絕服務,那麼什麼又是拒絕服務(Denial of Service)呢?可以這么理解,凡是能導致合法用戶不能夠訪問正常網路服務的行為都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的非常明確,就是要阻止合法用戶對正常網路資源的訪問,從而達成攻擊者不可告人的目的。
雖然同樣是拒絕服務攻擊,但是DDoS和DOS還是有所不同,DDoS的攻擊策略側重於通過很多僵屍主機(被攻擊者入侵過或可間接利用的主機) 向受害主機發送大量看似合法的網路包,從而造成網路阻塞或伺服器資源耗盡而導致拒絕服務,分布式拒絕服務攻擊一旦被實施,攻擊網路包就會猶如洪水般湧向受害主機,從而把合法用戶的網路包淹沒,導致合法用戶無法正常訪問伺服器的網路資源,因此,拒絕服務攻擊又被稱之為洪水式攻擊。
常見的DDoS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS則側重於通過對主機特定漏洞的利用攻擊導致網路棧失效、系統崩潰、主機死機而無法提供正常的網路服務功能,從而造成拒絕服務,常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務攻擊而言,危害較大的主要是DDoS攻擊,原因是很難防範,至於DOS攻擊,通過給主機伺服器打補丁或安裝防火牆軟體就可以很好地防範,後文會詳細介紹怎麼對付DDoS攻擊。三、被DDoS了嗎?
DDoS的表現形式主要有兩種,一種為流量攻擊,主要是針對網路帶寬的攻擊,即大量攻擊包導致網路帶寬被阻塞,合法網路包被虛假的攻擊包淹沒而無法到達主機;另一種為資源耗盡攻擊,主要是針對伺服器主機的攻擊,即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網路服務。
當然,這樣測試的前提是你到伺服器主機之間的ICMP協議沒有被路由器和防火牆等設備屏蔽,否則可採取Telnet主機伺服器的網路服務埠來測試,效果是一樣的。不過有一點可以肯定,假如平時Ping你的主機伺服器和接在同一交換機上的主機伺服器都是正常的,突然都Ping不通了或者是嚴重丟包,那麼假如可以排除網路故障因素的話則肯定是遭受了流量攻擊,再一個流量攻擊的典型現象是,一旦遭受流量攻擊,會發現用遠程終端連接網站伺服器會失敗。
相對於流量攻擊而言,資源耗盡攻擊要容易判斷一些,假如平時Ping網站主機和訪問網站都是正常的,發現突然網站訪問非常緩慢或無法訪問了,而 Ping還可以Ping通,則很可能遭受了資源耗盡攻擊,此時若在伺服器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態存在,而ESTABLISHED很少,則可判定肯定是遭受了資源耗盡攻擊。
還有一種屬於資源耗盡攻擊的現象是,Ping自己的網站主機Ping不通或者是丟包嚴重,而Ping與自己的主機在同一交換機上的伺服器則正常,造成這種原因是網站主機遭受攻擊後導致系統內核或某些應用程序CPU利用率達到100%無法回應Ping命令,其實帶寬還是有的,否則就Ping不通接在同一交換機上的主機了。
當前主要有三種流行的DDoS攻擊:
1、SYN/ACK Flood攻擊:這種攻擊方法是經典最有效的DDoS方法,可通殺各種系統的網路服務,主要是通過向受害主機發送大量偽造源IP和源埠的SYN或ACK 包,導致主機的緩存資源被耗盡或忙於發送回應包而造成拒絕服務,由於源都是偽造的故追蹤起來比較困難,缺點是實施起來有一定難度,需要高帶寬的僵屍主機支持。
少量的這種攻擊會導致主機伺服器無法訪問,但卻可以Ping的通,在伺服器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態,大量的這種攻擊會導致Ping失敗、TCP/IP棧失效,並會出現系統凝固現象,即不響應鍵盤和滑鼠。普通防火牆大多無法抵禦此種攻擊。
2、TCP全連接攻擊:這種攻擊是為了繞過常規防火牆的檢查而設計的,一般情況下,常規防火牆大多具備過濾TearDrop、Land等DOS攻擊的能力,但對於正常的TCP連接是放過的,殊不知很多網路服務程序(如:IIS、Apache等Web伺服器)能接受的TCP連接數是有限的。
一旦有大量的TCP連接,即便是正常的,也會導致網站訪問非常緩慢甚至無法訪問,TCP全連接攻擊就是通過許多僵屍主機不斷地與受害伺服器建立大量的TCP連接,直到伺服器的內存等資源被耗盡而被拖跨,從而造成拒絕服務,這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的,缺點是需要找很多僵屍主機,並且由於僵屍主機的IP是暴露的,因此容易被追蹤。
3、刷Script腳本攻擊:這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序,並調用MSSQLServer、 MySQLServer、Oracle等資料庫的網站系統而設計的,特徵是和伺服器建立正常的TCP連接,並不斷的向腳本程序提交查詢、列表等大量耗費資料庫資源的調用,典型的以小博大的攻擊方法。
一般來說,提交一個GET或POST指令對客戶端的耗費和帶寬的佔用是幾乎可以忽略的,而伺服器為處理此請求卻可能要從上萬條記錄中去查出某個記錄,這種處理過程對資源的耗費是很大的,常見的資料庫伺服器很少能支持數百個查詢指令同時執行,而這對於客戶端來說卻是輕而易舉的,因此攻擊者只需通過 Proxy代理向主機伺服器大量遞交查詢指令,只需數分鍾就會把伺服器資源消耗掉而導致拒絕服務。
常見的現象就是網站慢如蝸牛、ASP程序失效、PHP連接資料庫失敗、資料庫主程序佔用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火牆防護,輕松找一些Proxy代理就可實施攻擊,缺點是對付只有靜態頁面的網站效果會大打折扣,並且有些Proxy會暴露攻擊者的IP地址。
② 老毛子Padavan固件 自定義腳本怎麼用
ADBYBY默認關閉的,需要進入腳本修改啟動。(自定義設置 - 腳本 - 運行路由器啟動後:)
(自定義設置 - 腳本 - 運行路由器啟動後:)這個怎麼用 具體是復制哪一段代碼到 哪裡?代碼如下:
運行路由器啟動後代碼:
-----------------------------------------------------------------------------------------------
### Custom user script
### Called after router started and network is ready
### Example - load ipset moles
#modprobe ip_set
#modprobe ip_set_hash_ip
#modprobe ip_set_hash_net
#modprobe ip_set_bitmap_ip
#modprobe ip_set_list_set
#modprobe xt_set
### 創建子程序腳本
/etc/storage/script2_script.sh
/etc/storage/script3_script.sh
### SD卡掛載
/sbin/automount.sh mmcblk0p1 AiDisk_01
### 運行腳本1
sleep 10
/etc/storage/script1_script.sh
logger -t "運行路由器啟動後" "腳本完成"
③ 想寫個shell腳本來自動配置ip,子網掩碼和網關
測試了下還可以,沒有寫條件判斷,根據情況自己再修改下
#!/bin/bash
hwaddr=`ifconfig|grepHWaddr|awk'{print$5}'`
echo"DEVICE=$1
HWADDR=$hwaddr
TYPE=Ethernet
ONBOOT=yes
NM_CONTROLLED=yes
BOOTPROTO=static
IPADDR=$2
NETMASK=$3
GATEWAY=$4">/etc/sysconfig/network-scripts/ifcfg-$1
/etc/init.d/networkrestart
④ 如何在linux上高效阻止惡意IP地址
在Linux中,只要藉助netfilter/iptables框架,就很容易實現阻止IP地址這一目的:
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
如果你想要禁止某一整個IP地址區段,也能同樣做到這一點:
$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP
不過,要是你有1000個沒有共同CIDR(無類別域間路由)前綴的獨立IP地址想要禁止訪問,該如何是好?那你就要設定1000個iptables規則!很顯然這種方法不具有良好的擴展性。
$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP
$ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP
$ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP
. . . .
何謂IP集?
這時候,IP集(IP set)就能派得上大用場。IP集是一種內核功能,允許多個(獨立)IP地址、MAC地址或者甚至多個埠號高效地編碼並存儲在比特圖/散列內核數據結構裡面。一旦創建了IP集,就能創建與該集匹配的iptables規則。
你應該會立馬看到使用IP集帶來的好處,那就是你只要使用一個iptables規則,就能夠與IP集中的多個IP地址進行匹配!你可以結合使用多個IP地址和埠號來構建IP集,還可以用IP集動態更新iptables規則,對性能根本沒有任何影響。
將IPset工具安裝到Linux上
想創建並管理IP集,你就需要使用一種名為ipset的用戶空間工具。
想將ipset安裝到Debian、Ubuntu或Linux Mint上:
$ sudo apt-get install ipset
想將ipset安裝到Fedora或CentOS/RHEL 7上:
$ sudo yum install ipset
使用IPset命令禁止IP地址
不妨讓我通過幾個簡單的例子,具體介紹如何使用ipset命令。
首先,不妨創建一個新的IP集,名為banthis(名稱隨意):
$ sudo ipset create banthis hash:net
上述命令中的第二個變數(hash:net)必不可少,它代表了所創建的集的類型。IP集有多種類型。hash:net類型的IP集使用散列來存儲多個CIDR區段。如果你想在該集中存儲單個的IP地址,可以改而使用hash:ip類型。
一旦你創建了一個IP集,就可以使用該命令來檢查該集:
$ sudo ipset list
這顯示了可用IP 集的列表,另外還顯示了每個集的詳細信息,其中包括集成員。默認情況下,每個IP集可以最多含有65536個元素(這里是CIDR區段)。你只要在後面添加「maxelem N」選項,就可以調大這個極限值。
$ sudo ipset create banthis hash:net maxelem 1000000
現在不妨將IP地址區段添加到該集:
$ sudo ipset add banthis 1.1.1.1/32
$ sudo ipset add banthis 1.1.2.0/24
$ sudo ipset add banthis 1.1.3.0/24
$ sudo ipset add banthis 1.1.4.10/24
你會發現,集成員已發生了變化。
$ sudo ipset list
現在可以使用該IP集來創建一個iptables規則了。這里的關鍵在於,使用「-m set --match-set 」這個選項。
不妨創建一個iptables規則,阻止該集中的所有那些IP地址區段通過埠80訪問網站伺服器。這可以通過這個命令來實現:
$ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP
如果你想,還可以將特定的IP集保存到一個文件中,然後以後可以從該文件來恢復:
$ sudo ipset save banthis -f banthis.txt
$ sudo ipset destroy banthis
$ sudo ipset restore -f banthis.txt
在上述命令中,我試著使用destroy選項來刪除現有的IP集,看看我能不能恢復該IP集。
自動禁止IP地址
至此,你應該會看到IP集這個概念有多強大。仍然維持一份最新的IP黑名單可能是件麻煩又費時的活兒。實際上,現在外頭有一些免費服務或收費服務可以為你維護這些IP黑名單。另外,不妨看一下我們如何可以將可用IP黑名單自動轉換成IP集。
我暫且從免費或收費發布各種IP阻止列表的iblocklist.com獲取免費的IP列表。提供了P2P格式的免費版本。
我要使用一款名為iblocklist2ipset的開源python工具,這個工具可以將P2P版本的iblocklist轉換成IP sets。
首先,你需要安裝好pip(想安裝pip,請參閱這篇指導文章:http://ask.xmolo.com/install-pip-linux.html)。
然後安裝iblocklist2ipset,具體如下所示。
$ sudo pip install iblocklist2ipset
在Fedora之類的一些發行版上,你可能需要運行這個命令:
$ sudo python-pip install iblocklist2ipset
現在進入到iblocklist.com,獲取任何P2P列表URL(比如「level1」列表)。
然後將該URL粘貼到下面這個命令中:
$ iblocklist2ipset generate \
--ipset banthis "http://list.iblocklist.com/?list=ydxerpxkpcfqjaybcssw&fileformat=p2p&archiveformat=gz" \
> banthis.txt
在你運行上述命令後,你就創建了一個名為bandthis.txt的文件。如果你檢查其內容,就會看到類似以下的內容:
create banthis hash:net family inet hashsize 131072 maxelem 237302
add banthis 1.2.4.0/24
add banthis 1.2.8.0/24
add banthis 1.9.75.8/32
add banthis 1.9.96.105/32
add banthis 1.9.102.251/32
add banthis 1.9.189.65/32
add banthis 1.16.0.0/14
你可以使用ipset命令,就能輕松裝入該文件:
$ sudo ipset restore -f banthis.txt
現在,用下面這個命令檢查自動創建的IP集:
$ sudo ipset list banthis
截至本文截稿時,「level1」阻止列表含有237000多個IP地址區段。你會發現,許多IP地址區段已經被添加到了IP集中。
最後,只需創建一個iptables規則,就能阻止所有這些地址!
⑤ ipset 使用
原文地址 : http://ipset.netfilter.org/
ipset 資料: https://www.linuxjournal.com/content/advanced-firewall-configurations-ipset
ip set 是linux內核的一個內部框架, 可由ipset工具管理,ip set 可以分為以下幾種類型:ip地址, 網路地址(網段),tcp/udp 埠號, mac地址, 網卡名稱。或者是上述類型的組合,並保證快速的匹配。
ipset 適用於以下幾種場景:
(1)一次性存儲大量的ip或者埠,用以iptables匹配
(2)在不影響性能的前提下,動態更新iptables規則(針對ip或者埠)
(3)期望使用ipset的告訴匹配,或者在一條iptables規則中表達復雜的 ip/埠規則
(1)bitmap : ip
存儲在內存中,利用bitmap數據結構存儲, 可以存儲 65535個ip地址(B類網路)
(2)bitmap: ip,mac
存儲在內存中, 8 bytes 表示一個ip,mac
(3) bitmap: port
同(1), 只是存儲的是埠號
(4)hash:ip
使用hash存儲ip地址。元素沖突的話,將以數組的形式放在最後
(5)hash:net
使用hash存儲網路,與 hash:ip 使用同樣的技術避免元素沖突
(6)hash:ip,port
與hash:ip 類似,但是可以存儲IP與 協議-埠的組合,支持 tcp sctp udp udplite 加上埠號, 以及icmp icmpv6及其它無埠號的協議。
(7)hash:ip,port,ip
用hash存放 ip,port,ip的組合
(8)汪斗hash:ip,port,net
用hash 存放 ip,port, net 的組合
(9)hash:net,port
(10)hash:net,iface
用hash存放 網路 網卡
(11)list:set
用數組存放其它set, 即不同set的有序組合
linux 內核版本 >=3.11
source of ipset http://ipset.netfilter.org/ipset-7.6.tar.bz2
git://git.netfilter.org/ipset.git
ipset
n, create SETNAME TYPENAME [ CREATE-OPTIONS ]
新建集合
add SETNAME ADD-ENTRY [ ADD-OPTIONS ]
向指定集合中新增元素
del SETNAME DEL-ENTRY [ DEL-OPTIONS ]
刪除指定集合中的元素
test SETNAME TEST-ENTRY [ TEST-OPTIONS ]
判斷元素是否在指定集合,0 存在, 非0 不存在
譯者註: 不同集合類型,test 參數會不一致
x, destroy [ SETNAME ]
刪除一個或所有集合(參數中未制定集合), 如果集合已經被引用,則無法刪除
list [ SETNAME ] [ OPTIONS ]
列出集合條目
save [ SETNAME ]
保存集合指定集合或所有(至指定參數), -file 參數可以保存到制定文件
restore
將ipset集合從 指定文明頃件中恢復存, 通過 -file 參數。需要注意到是, 現有 到集合和元素不會被覆蓋, list、 help、 vertsion以及 交互模式下不支持該命令
flush [ SETNAME ]
清空指定集合到所有條目,或所有集合到條目(未指定困槐磨集合參數)
e, rename SETNAME-FROM SETNAME-TO
重命名集合, SETNAME-TO 必須不存在
w, swap SETNAME-FROM SETNAME-TO
交換集合, 兩個集合必須存在, 並且類型兼容
help [ TYPENAME ]
列印幫助信息
version
列印版本號
進入交互模式, 從標准輸出讀入命令,quit 退出,
其它選項
-!, -exist
忽略錯誤輸出
-o, -output { plain | save | xml }
list命令制定輸出格式
-q, -quiet
不輸出相關信息, 但是當ipset無法繼續運行時,仍然會退出
-r, -resolve
list 命令輸出集合條目時, 解析主機名, dns查詢可能導致速度緩慢
-s, -sorted
對輸出排序
-n, -name
list命令,只輸出集合名稱
-t, -terse
List 命令只輸出集合名稱和頭部,忽略條目
-f, -file filename
list save restore 命令,用於指定文件名稱
ip, net, mac, port, iface 這類參數用 「,」 逗號隔開, 但是主機名包含段短橫線「-」時, 必須放在方括弧「[]」 中, 並且,ipset 會去解析主機名,如果解析出多個ip, 只使用第一個.
bitmap, list類型,使用固定長度存儲空間。 hash 類型是用hash存放元素, 為了避免hash沖突, 會現在鏈到長度,如果上到到達限制,在使用iset添加條目時,將hash大小加倍。當集合中到條目被應用到iptables時, hash大小是固定到, 集合也不能重復,新到條目也不能載入到集合中。
常見 create add 命令選項
timeout
未完待續。。。。。