用 iptables 屏蔽来自某个国家的 IP

星期六我们一位客户受到攻击,我们的网络监测显示有连续6小时的巨大异常流量,我们立即联系了客户,没有得到回应,我们修改和限制了客户的 VPS,使得个别 VPS 受攻击不会对整个服务器和其他 VPS 用户造成任何影响,我们一直保持这个 VPS 为开通状态(尽管一直受攻击),攻击又持续了24小时,星期天攻击仍在继续,我们忍无可忍,但是仍然无法联系到客户,我们向客户网站的另一负责人询问是否需要我们介入来帮助解决,这位负责人答应后我们立即投入到与 DDoS 的战斗中(我们动态扫描屏蔽坏 IP,现在客户网站已恢复。整个过程很有意思,以后有时间再写一篇博客来描述)。登录到客户 VPS 第一件事情就是查当前连接和 IP,来自中国的大量 IP 不断侵占80端口,典型的 DDoS. 所以第一件事是切断攻击源,既然攻击只攻80端口,那有很多办法可以切断,直接关闭网站服务器、直接用防火墙/iptables 切断80端口或者关闭所有连接、把 VPS 网络关掉、换一个 IP,⋯,等等。因为攻击源在国内,所以我们决定切断来自国内的所有访问,这样看上去网站好像是被墙了而不是被攻击了,有助于维护客户网站的光辉形象:D,那么如何屏蔽来自某个特定国家的 IP 呢?

方法很容易,先到 IPdeny 下载以国家代码编制好的 IP 地址列表,比如下载 cn.zone:

# wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone

有了国家的所有 IP 地址,要想屏蔽这些 IP 就很容易了,直接写个脚本逐行读取 cn.zone 文件并加入到 iptables 中:

#!/bin/bash
# Block traffic from a specific country
# written by vpsee.com

COUNTRY="cn"
IPTABLES=/sbin/iptables
EGREP=/bin/egrep

if [ "$(id -u)" != "0" ]; then
   echo "you must be root" 1>&2
   exit 1
fi

resetrules() {
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
}

resetrules

for c in $COUNTRY
do
        country_file=$c.zone

        IPS=$($EGREP -v "^#|^$" $country_file)
        for ip in $IPS
        do
           echo "blocking $ip"
           $IPTABLES -A INPUT -s $ip -j DROP
        done
done

exit 0

好 IP 和坏 IP 都被屏蔽掉了,这种办法当然不高明,屏蔽 IP 也没有解决被攻击的问题,但是是解决问题的第一步,屏蔽了攻击源以后我们才有带宽、时间和心情去检查 VPS 的安全问题。公布一份我们客户被攻击的网络流量图,在18点到0点所有带宽都被攻击流量占用,这时候客户无法登录 VPS,访问者也无法访问网站:

ddos

评论 (17 Comments)

  1. 本来以为你们是个小规模的VPS提供商,看来你们的服务还是很专业的。有机会我也会购买你们的VPS试试。

  2. 如果是伪源的半连接就不能用这个方法防范了。

  3. 怎么了? 受到DDOS啦? 有什么好的办法共享出来呀? 哈哈我也正好研究下. 好久没上来了别来无恙呀 哈哈

  4. ddos在经济和技术上的成本都很低,被ddos几乎是不可避免的,像这种“软防”对付小规模的攻击尚可。

  5. 嗯,大规模 ddos 基本无法抵抗,只能靠运气了,不过也不用太担心,这种 ddos 也不屑于光顾我们这种小站的~~

  6. 我只被DOS过。。。。。。。。

  7. 前几天偶的VPS也被D了,一分钟左右居然上万个TCP连接!

  8. 楼主的流量图是怎么生成的呢
    推荐楼主试试 DDoS deflate
    对连接数过多的IP自动添加到IPtable里

  9. Multi Router Traffic Grapher (MRTG)
    嗯,(D)DoS Deflate 不错,不过很少用。

  10. 小夜

    COUNTRY = “cn”
    IPTABLES = /sbin/iptables
    EGREP = /bin/egrep

    =号左右不能有空格的

  11. 有点不明白怎么放?下载的文件放哪里,规则放哪里?

  12. 这个图是他们从机房查看交换机的流量图。

  13. 我想问一下,我的VPS如果屏蔽了来自中国的所有IP,那这样的话,我自己也被屏蔽了。如果我想访问则需要VPN才行。请问:我在我的同一个VPS上建一个VPN,那这个VPN我能用吗?

  14. @pajamas
    把自己电脑的 IP 或者 IP 段加到白名单就可以。

  15. 哥们。按照你的方法无效

  16. 能教一下这个脚本怎么用吗?

  17. 可以用 ipset 吧?

发表评论