求一款linux下的防火墙 [复制链接]
查看:90 | 回复:7

luyu · 发表于 2013-8-20 07:39:02

可以防御在短时间内某个IP对主机的大量请求，并且屏蔽该IP数分钟

im286 · 发表于 2013-8-20 07:39:54

WHAT · 发表于 2013-8-20 07:40:55

求一款linux下的防火墙，可以在遭受攻击时主动反击制胜

★Extreme★ · 发表于 2013-8-20 07:58:41

用Nginx做前端，写个PHPDDOS文件，写个rewrite规则，判断单IP单位时间内请求数到达一个数目后,就使rewrite规则生效，自动rewrite到phpddos文件，并且把remote_addr给PHPDDOS文件。

★Extreme★ · 发表于 2013-8-20 08:04:21

本帖最后由 ★Extreme★ 于 2013-8-20 08:07 编辑

来，给你写法，如果Nginx就编译LUA+LIMIT_REQ2模块，tengine就把下面的limite_req2改成limit_req：

写到nginx.conf的HTTP层：[ol]

limit_req2_zone $binary_remote_addr $request_uri zone=one:2m rate=100r/s; [/ol]复制代码这是写到server层的：[ol]

location @settime {

default_type text/html;

set $ip $binary_remote_addr;

set $val a;

set $exptime 3600;

set $ipa $remote_addr;

access_by_lua '

local ips = ngx.shared.ips

local vala = ips:get(ngx.var.ip)

if vala == nil then

local setip = ips:set(ngx.var.ip, ngx.var.val, ngx.var.exptime)

ngx.say("IP: ", ngx.var.ipa, " 让你妹的刷新那么快，DDOS你 ", ngx.var.exptime, " 秒。")

else

ngx.exec(403)

end

';

}

location = /ddos {

rewrite ^ /ddos.php?ip=$remote_addr break; #第一个动作显示的页面

}

location /{

#这里写上你原来的/的代码，例如tryfile那些。

set $ip $binary_remote_addr;

rewrite_by_lua '

local ips = ngx.shared.ips

local vala = ips:get(ngx.var.ip)

if vala == nil then

return

end

if vala == "a" then

ngx.exec("/ddos")

else

ngx.exec(403)

end

';

limit_req2 zone=one forbid_action=@settime nodelay;

}[/ol]复制代码DDOS怎么写我就不给了，把访问的ip=xxxx的值赋值给变量IP就行了：$ip = $_GET['ip'];

luyu · 发表于 2013-8-20 08:51:24

★Extreme★ 发表于 2013-8-20 07:58

用Nginx做前端，写个PHPDDOS文件，写个rewrite规则，判断单IP单位时间内请求数到达一个数目后,就使rewrite ...
这么说需要两台主机，一台母鸡，一台nginx

luyu · 发表于 2013-8-20 07:58:00

★Extreme★ 发表于 2013-8-20 08:04

来，给你写法，如果Nginx就编译LUA+LIMIT_REQ2模块，tengine就把下面的limite_req2改成limit_req：

写到ng ...
多谢

★Extreme★ · 发表于 2013-8-20 08:52:50

luyu 发表于 2013-8-20 08:51

这么说需要两台主机，一台母鸡，一台nginx
我只用Linux架设网站……