利用iptables防止php-ddos对外发包

最近一段时间php-ddos泛滥，前段时间VPS上被黑客挂马，几个月流量跑了几百G，有点怀疑是被利用来php-ddos了，所以今天重新安装了VPS系统并重新配置了环境。
下面讲下利用iptables，从根源上禁止php-ddos对外发包。

禁止本机对外发送UDP包

一、允许需要UDP服务的端口（如DNS）

代码如下	复制代码
iptables -I OUTPUT -p udp --dport 53 -d 8.8.8.8 -j ACCEPT

绿色“53”，为DNS所需要的UDP端口，黄色“8.8.8.8”部分为DNS IP，根据您服务器的设定来定，若您不知您当前服务器使用的DNS IP，可在SSH中执行以下命令获取：

代码如下	复制代码
cat /etc/resolv.conf \|grep nameserver \|awk 'NR==1{print $2 }'

二、禁止本机对外发送UDP包

代码如下	复制代码
iptables -A OUTPUT -p udp -j DROP

整个过程

代码如下

复制代码

iptables -I OUTPUT -p udp –dport 53 -d 8.8.8.8 -j ACCEPT

iptables -A OUTPUT -p udp -j DROP

iptables-save >/etc/iptables-script

echo ‘/sbin/iptables-restore /etc/iptables-script’ >>/etc/rc.d/rc.local

service iptables save

reboot

service iptables status

如果你是windows系统可参考windows禁止服务器对外发包的方法:http://www.111cn.net/sys/Windows/49741.htm

时间： 2024-10-23 15:42:05

利用iptables防止php-ddos对外发包的相关文章

禁止服务器对外发包的方法

我们先来看phpddos对外发包的代码 $packets = 0; $ip = $_GET[ip]; $rand = $_GET[port]; set_time_limit(0); ignore_user_abort(FALSE); $exec_time = $_GET[time]; $time = time(); print /"Flooded: $ip on port $rand /"; $max_time = $time+$exec_time; for($i=0;$i<

php对外发包引发服务器崩溃的终极解决方法分享[推荐]_win服务器

一.php对外发包分析用php代码调用sockets,直接用服务器的网络攻击别的IP,常见代码如下: 复制代码代码如下: $packets = 0; $ip = $_GET[\'ip\']; $rand = $_GET[\'port\']; set_time_limit(0); ignore_user_abort(FALSE); $exec_time = $_GET[\'time\']; $time = time(); print \"Flooded: $ip on port $rand \

浅谈利用JavaScript进行的DDoS攻击原理与防御

这篇文章主要介绍了浅谈利用JavaScript进行的DDoS攻击原理与防御,以及介绍了相关的中间人攻击原理,需要的朋友可以参考下分布式拒绝服务攻击(DDoS)攻击是一种针对网站发起的最古老最普遍的攻击.Nick Sullivan是网站加速和安全服务提供商CloudFlare的一名系统工程师.近日,他撰文介绍了攻击者如何利用恶意网站.服务器劫持和中间人攻击发起DDoS攻击,并说明了如何使用HTTPS以及即将到来的名为"子资源一致性(Subresource I

php对外发包解决方案(导致w3wp.exe很占cpu)_win服务器

一.php对外发包问题客户说自己的vps对外发包严重,我司机房人员查看监控,截图如下: 在这样下去客户的机器肯定会造成ping值不稳定,甚至服务器崩溃. 二.分析问题经分析发现,这些发包的PHP程序都使用了fsockopen()这个函数.强烈建议您修改php.ini文件,关闭这个函数,95%以上的程序是不需要这个函数的,个别程序如淘宝客.Ucenter.部分API程序等才需要使用这个函数.如果关闭这个函数,发包程序彻底失效,极大的增强了服务器的安全级别. 1. 关闭这个函数的流程,编辑php

centOS7 下利用iptables配置IP地址白名单的方法_Linux

编辑iptables配置文件,将文件内容更改为如下,则具备了ip地址白名单功能 #vim /etc/sysconfig/iptables *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -N whitelist -A whitelist -s 1.2.3.0/24 -j ACCEPT -A whitelist -s 4.5.6.7 -j ACCEPT -A INPUT -m state --state

CentOS利用iptables禁止以及恢复ping的例子

今晚打开Online的独服上之前装的DA,看到一大堆Brute force attack警报,太心烦了.于是乎跟着网上教程设置了一下iptables,以后遇到破解的,可以直接block IP.教程中给出的命令把ping也禁止了,导致其他客户端无法ping我的服务器,外加自动屏蔽暴力破解IP.可随之将ping给禁止了,Online也马上来了提示邮件"Service alert: ping down on Dedibox",本地测试也ping不通.下面介绍如何给iptables设置了禁用或

linux下利用iptables防Ddos攻击配置

使用iptables 设定单个客户机的指定时间内发起最大连接数请求,超过限制的直接DROP 代码如下复制代码 iptables -A INPUT -p tcp –dport 80 -m state –state NEW -m recent –set –name WEB iptables -A INPUT -p tcp –dport 80 -m state –state NEW -m recent –update –seconds 30 –hitcount 20 –rttl –name WEB

利用iptables来缓解和预防DDOS及CC攻击

iptables防ddos方法实例缓解DDOS攻击 #防止SYN攻击,轻量级预防 iptables -N syn-flood iptables -A INPUT -p tcp –syn -j syn-flood iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN iptables -A syn-flood -j REJECT #防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超

如何利用TFTP协议发动DDoS放大攻击

一个来自爱丁堡龙比亚大学的安全研究小组制定出一项新的DDoS放大技术方案,且主要依靠TFTP协议实现. 来自爱丁堡龙比亚大学的一个安全专家小组(成员分别为Boris Sieklik.Richard Macfarlane以及William Buchanan教授)已经发现了一种新的DDoS攻击载体.最近安全行业注意到几种可行方法以利用存在配置错误的服务,例如DNS或者网络时间协议(简称NTP),实现强度惊人的放大攻击.而如今,专家们意识到TFTP协议(即简单文件传输协议)亦有可能被用于执行这类网