如何有效防御服务器DDoS攻击
分布式拒绝服务(DDoS)攻击通过大量恶意流量淹没服务器资源,导致服务瘫痪。本文将提供一套结合代码实现的主动防御方案,涵盖流量监控、自动化拦截和基础设施优化。
1. 实时流量监控与告警
目标:检测异常流量并触发告警
工具:Python + tshark(Wireshark命令行工具)
代码示例:
import subprocess
import timedef monitor_traffic(interface='eth0', threshold=1000):while True:# 统计每秒接收的SYN包数量(SYN Flood常见特征)cmd = f"tshark -i {interface} -a duration:1 -Y 'tcp.flags.syn==1' -q -z stats"result = subprocess.getoutput(cmd)packet_count = int(result.split()[-2]) # 提取SYN包数量if packet_count > threshold:print(f"[!] 异常流量告警: 检测到 {packet_count} 个SYN包/秒")# 触发防火墙规则(见下文)block_ip_script()time.sleep(1)if __name__ == "__main__":monitor_traffic(threshold=500) # 根据业务调整阈值
2. 自动封禁恶意IP
工具:iptables + Python
代码示例(自动封禁高频访问IP):
# 手动操作命令:
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 60 --hitcount 100 -j DROP
# 自动化脚本扩展:基于日志分析封禁IP
import os
from collections import defaultdictdef analyze_log(log_path='/var/log/nginx/access.log'):ip_count = defaultdict(int)with open(log_path) as f:for line in f:ip = line.split()[0]ip_count[ip] += 1for ip, count in ip_count.items():if count > 300: # 1分钟内超过300次请求os.system(f"iptables -A INPUT -s {ip} -j DROP")print(f"已封禁IP: {ip}")analyze_log()
3. 基础设施优化
方案1:启用CDN隐藏真实IP
# Nginx配置示例:限制单个IP连接数
http {limit_conn_zone $binary_remote_addr zone=addr:10m;server {location / {limit_conn addr 20; # 每个IP最大20连接proxy_pass http://backend_server;}}
}
方案2:云服务商API自动扩容
# AWS自动扩容示例(使用boto3)
import boto3def auto_scaling():cloudwatch = boto3.client('cloudwatch')# 监控CPU使用率metrics = cloudwatch.get_metric_statistics(Namespace='AWS/EC2',MetricName='CPUUtilization',Dimensions=[{'Name':'InstanceId', 'Value':'i-1234567890abcdef0'}],StartTime=datetime.utcnow() - timedelta(minutes=5),EndTime=datetime.utcnow(),Period=300,Statistics=['Average'])if metrics['Datapoints'][0]['Average'] > 90:autoscale = boto3.client('autoscaling')autoscale.set_desired_capacity(AutoScalingGroupName='my-asg',DesiredCapacity=10 # 扩容到10个实例)
总结
- 通过实时监控识别攻击特征
- 使用iptables和自动化脚本快速响应
- 结合CDN和云服务弹性扩容分散流量压力
- 定期测试防御方案有效性(推荐使用
slowloris等工具模拟攻击)