iptables命令防御DDoS攻击

去年十月份开始发生过被疯狂刷垃圾评论/无限刷新页面导致服务器CPU和内存占用爆表，当时小萌新一枚居然也束手无策..

未雨绸缪一次，记录应对方法，供需要时快速查阅。前提受到骚扰下VPS还能SSH远程登录。

操作步骤

查看80端口连接数：（不是IP，请注意区别，一个IP可能发起很多个连接）

netstat -nat是所有端口的连接状况

gerp -i “80” 是单独打印80端口的 可以修改显示其他端口情况

netstat -nat|grep -i "80" |wc -l

对连接的IP按连接数量进行排序:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

用tcpdump嗅探80端口的访问看看谁最高:

tcpdump -i eth0 -tnn dst port 80 -c 1000

iptables屏蔽ip：

#如果只是想屏蔽IP的话“3、开放指定的端口”可以直接跳过。
#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP

对于web服务器（Nginx、Apache等）来说，并发连接数是一个比较重要的参数，下面就通过netstat命令和awk来查看web服务器的并发连接数以及TCP连接状态。

$ netstat -n | awk '/^tcp/ {++S[$NF]} END {for(key in S) print key,"t",S[key]}'
FIN_WAIT2        38
CLOSING          3
SYN_RECV         1
CLOSE_WAIT       1
TIME_WAIT        261
ESTABLISHED      71
LAST_ACK         2
FIN_WAIT1        9
CLOSED          无连接是活动的或正在进行
LISTEN          服务器在等待进入呼叫
SYN_RECV        一个连接请求已经到达，等待确认
SYN_SENT        应用已经开始，打开一个连接
ESTABLISHED     正常数据传输状态/当前并发连接数
FIN_WAIT1       应用说它已经完成
FIN_WAIT2       另一边已同意释放
ITMED_WAIT      等待所有分组死掉
CLOSING         两边同时尝试关闭
TIME_WAIT       另一边已初始化一个释放
LAST_ACK        等待所有分组死掉
ESTABLISHED参数后面的值就是当前系统的并发连接数了。

iptables命令介绍

iptables命令是Linux上常用的防火墙软件，是netfilter项目的一部分。可以直接配置，也可以通过许多前端和图形界面配置。

语法

iptables(选项)(参数)

选项

-t<表>：指定要操纵的表；

-A：向规则链中添加条目；

-D：从规则链中删除条目；

-i：向规则链中插入条目；

-R：替换规则链中的条目；

-L：显示规则链中已有的条目；

-F：清楚规则链中已有的条目；

-Z：清空规则链中的数据包计算器和字节计数器；

-N：创建新的用户自定义规则链；

-P：定义规则链中的默认目标；

-h：显示帮助信息；

-p：指定要匹配的数据包协议类型；

-s：指定要匹配的数据包源ip地址；

-j<目标>：指定要跳转的目标；

-i<网络接口>：指定数据包进入本机的网络接口；

-o<网络接口>：指定数据包要离开本机所使用的网络接口。

iptables命令选项输入顺序：

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

表名包括：

raw：高级功能，如：网址过滤。

mangle：数据包修改（QOS），用于实现服务质量。

net：地址转换，用于网关路由器。

filter：包过滤，用于防火墙规则。

规则链名包括：

INPUT链：处理输入数据包。

OUTPUT链：处理输出数据包。

PORWARD链：处理转发数据包。

PREROUTING链：用于目标地址转换（DNAT）。

POSTOUTING链：用于源地址转换（SNAT）。

动作包括：

accept：接收数据包。

DROP：丢弃数据包。

REDIRECT：重定向、映射、透明代理。

SNAT：源地址转换。

DNAT：目标地址转换。

MASQUERADE：IP伪装（NAT），用于ADSL。

LOG：日志记录。

实例

清除已有iptables规则

iptables -F
iptables -X
iptables -Z

开放指定的端口

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT               #允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT    #允许已建立的或相关连的通行
iptables -A OUTPUT -j ACCEPT         #允许所有本机向外的访问
iptables -A INPUT -p tcp --dport 22 -j ACCEPT    #允许访问22端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT    #允许访问80端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT    #允许ftp服务的21端口
iptables -A INPUT -p tcp --dport 20 -j ACCEPT    #允许FTP服务的20端口
iptables -A INPUT -j reject       #禁止其他未允许的规则访问
iptables -A FORWARD -j REJECT     #禁止其他未允许的规则访问

屏蔽IP

iptables -I INPUT -s 123.45.6.7 -j DROP       #屏蔽单个IP的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP      #封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP    #封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP    #封IP段即从123.45.6.1到123.45.6.254的命令是

查看已添加的iptables规则

iptables -L -n -v

删除已添加的iptables规则

将所有iptables以序号标记显示，执行：

iptables -L -n --line-numbers

比如要删除INPUT里序号为8的规则，执行：

iptables -D INPUT 8