DDoS攻击通过大量恶意请求占用服务器带宽、CPU、内存等资源,导致正常用户无法访问服务。在Linux系统中,我们可以通过系统自带的内核参数调整、防火墙规则配置等方式,搭建基础的DDoS防御能力,减少攻击带来的损失。

一、优化系统内核参数
Linux内核自带很多网络相关的参数,合理调整这些参数可以提升系统抗DDoS攻击的能力,相关参数可以通过sysctl命令进行配置。
首先编辑sysctl配置文件:
# 编辑sysctl配置文件 vim /etc/sysctl.conf
在文件末尾添加以下配置内容:
# 开启SYN Cookie防护,应对SYN洪水攻击 net.ipv4.tcp_syncookies = 1 # 减少SYN连接重试次数 net.ipv4.tcp_synack_retries = 2 # 减少SYN连接超时时间 net.ipv4.tcp_syn_retries = 2 # 增加TCP连接队列长度 net.ipv4.tcp_max_syn_backlog = 4096 # 开启TCP连接复用 net.ipv4.tcp_tw_reuse = 1 # 快速回收TIME_WAIT状态的连接 net.ipv4.tcp_tw_recycle = 1 # 限制单个IP的TCP连接数 net.ipv4.tcp_max_tw_buckets = 5000 # 禁用ICMP重定向 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 # 开启反向路径过滤,防止IP欺骗 net.ipv4.conf.all.rp_filter = 1
保存文件后执行以下命令让配置生效:
sysctl -p
二、配置iptables防火墙规则
iptables是Linux系统常用的防火墙工具,通过配置规则可以过滤恶意请求,限制单个IP的连接频率和请求速率。
1. 基础防护规则
首先添加基础防护规则,应对常见的SYN洪水、ICMP洪水等攻击:
# 允许本地回环接口的所有流量 iptables -A INPUT -i lo -j ACCEPT # 允许已建立的连接和相关连接通过 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 开启SYN防护 iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT # 限制单个IP每秒最多发起10个新连接 iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 1 --hitcount 10 -j DROP # 限制ICMP请求速率,防止ICMP洪水 iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 3 -j ACCEPT # 丢弃无效的TCP包 iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
2. 端口防护规则
根据服务器开放的服务端口,针对性配置防护规则,比如只开放必要的端口,关闭无用端口:
# 开放SSH端口(根据实际端口调整,建议修改默认22端口) iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 开放HTTP服务端口 iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 开放HTTPS服务端口 iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 拒绝其他所有入站请求 iptables -A INPUT -j DROP
配置完成后保存iptables规则,避免重启后丢失:
# CentOS系统保存规则 service iptables save # Ubuntu系统保存规则 iptables-save > /etc/iptables.rules
三、调整服务配置
除了系统层面和防火墙层面的配置,还需要调整对外提供服务的应用配置,提升单个服务的抗攻击能力。
1. Nginx服务配置
如果使用Nginx作为Web服务器,可以在配置文件中添加限流规则:
http {
# 定义限流区域,限制单个IP每秒最多10个请求
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
server {
listen 80;
server_name localhost;
location / {
# 应用限流规则,突发请求最多20个
limit_req zone=one burst=20 nodelay;
root /usr/share/nginx/html;
index index.html;
}
}
}
2. SSH服务配置
修改SSH服务配置,降低暴力破解类攻击的影响:
# 编辑SSH配置文件 vim /etc/ssh/sshd_config
修改以下配置项:
# 禁用root用户直接登录 PermitRootLogin no # 修改默认端口,避免使用22端口 Port 2222 # 限制最大认证重试次数 MaxAuthTries 3 # 禁用密码登录,使用密钥登录 PasswordAuthentication no
保存后重启SSH服务生效:
systemctl restart sshd
四、注意事项
以上配置属于基础防御手段,只能应对小规模的DDoS攻击,如果遇到大规模攻击,还需要结合上游运营商的流量清洗、专业的DDoS防护设备等方式应对。同时需要定期查看系统日志和防火墙日志,及时调整防护规则,避免误封正常用户的IP地址。
另外,不要随意将内核参数调整得过于严格,否则可能导致正常的高并发业务无法正常运行,需要根据实际业务场景测试后再应用到生产环境。