如何加快csf防火墙block ip的速度（送自己写的防CC脚本）

loning

我的服务器每天大概会被1000个左右的并发IP CC
我通过日志大概分析出来一些非法的请求，但是在使用CSF禁止ip的时候，由于iptables要锁表，导致特别特别慢。。求快速加入iptables的方法...

下面是封大量连接没有referer来源的脚本，自己写的比较2。。见谅..

#!/bin/bash
ips=`tail -100 /data/logs/aaa.com.log | grep -E ' GET ' | awk '{if ($11=="-"){print $1}}' |sort |uniq -c | awk '{if ($1 > 1 ){ print $2 }}'`

cache=`tail -1000 /data/logs/aaa.com.log`;
#printf "$cache";
#echo "$cache";
for ip in $ips;do
        #echo $ip;
        ipcache=`echo "$cache" | grep -E "^$ip"`;
        posttest=`echo "$ipcache" | grep -E ' POST ' | wc -l`;
        if [ $posttest -gt 0 ]
        then
                echo "$ip POST detected,continue";
                continue;
        fi
        match=`echo "$ipcache" |grep -E ' GET ' | awk '{if ($11 == "-") {print $11}}' | wc -l`;

        if [ $match -gt 10 ]
        then
                FLAG=0;
                grep $ip /etc/csf/csf.tempban > /dev/null
                if [ $? -ne $FLAG ]
                then
                        /usr/sbin/csf -td $ip 43200
                        echo "block $ip, match $match";
                else
                        echo "already block $ip, match $match" ;
                fi

        fi
        #echo $match;
        #echo "$cache"| grep $ip >> /data/logs/ban/200.log;
done
~

loning

原帖由 莫桑比特 于 2011-12-3 11:56 发表
  直接上CC软防，几十万CC无视

求linux下的。。。
我这边的CC主要是1、2秒才发一个请求，那边机器多，应该是叫做非饱和攻击吧。nginx都不503。。

domin

防SYN...无语

loning

原帖由 fw2you 于 2011-12-3 11:57 发表

看来以后要加referer了

加了referer还要模拟爬虫、而且还要爬图片、而且每次间隔不能太短，否则把window打开大一点，照样全部封死，当然也得要求服务器性能好一些

loning

原帖由 domin 于 2011-12-3 04:19 发表
直接通过iptables封不就行了吗, 为什么要用csf

CSF有临时表、永久表、防SYN、防FLOOD。。。
基本都能kill掉。。然后就剩下一些CC了。分析一下日志就好了，今天服务器很正常。

loning

原帖由 wdlth 于 2011-12-3 13:01 发表
可以试试用KVDB来判断。

神马是KVDB？。。

wdlth

可以试试用KVDB来判断。

有个就好

判断reffer。。。

xx2008

咱不懂

fw2you

原帖由 loning 于 2011-12-3 03:45 发表
我的服务器每天大概会被1000个左右的并发IP CC
我通过日志大概分析出来一些非法的请求，但是在使用CSF禁止ip的时候，由于iptables要锁表，导致特别特别慢。。求快速加入iptables的方法...

下面是封大量连接没有referer来 ...

看来以后要加referer了