全球主机交流论坛

标题: 谁给翻译下这个配置文件 [打印本页]

作者: ATOM 时间: 2009-10-9 19:04
标题: 谁给翻译下这个配置文件
##### Paths of the script and other files
PROGDIR="/usr/local/ddos"
PROG="/usr/local/ddos/ddos.sh"
IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list"
CRON="/etc/cron.d/ddos.cron"
APF="/etc/apf/apf"
IPT="/sbin/iptables"

##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with --cron
##### option so that the new frequency takes effect
FREQ=1

##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=200

##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=0

##### KILL=0 (Bad IPs are'nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1

##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO="root"

##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600

作者: zyypp 时间: 2009-10-9 19:21
我昨天装了没感觉到什么效果呵呵

作者: cpuer 时间: 2009-10-9 19:23
标题: 回复 2# 的帖子
有测试攻击流量？

作者: zyypp 时间: 2009-10-9 19:25
标题: 回复 3# 的帖子
就是记录下每个IP的访问次数

作者: cpuer 时间: 2009-10-9 19:27
标题: 回复 4# 的帖子
楼主也安装测试下。

作者: ATOM 时间: 2009-10-9 19:39
谁给详细解释一下各个参数的意义.

作者: cpuer 时间: 2009-10-9 19:47
标题: 回复 1# 的帖子
frequency in minutes for running the script

运行这个脚本的频率，分钟
FREQ=1 就是每分钟运行一次。

作者: cpuer 时间: 2009-10-9 19:50
##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=200

怎么定义一个IP为进行攻击的IP，如上 200个连接数就定义了。

作者: cpuer 时间: 2009-10-9 19:52
APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=0

使用防火墙来封IP。

作者: cpuer 时间: 2009-10-9 19:52
##### KILL=0 (Bad IPs are'nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1

KILL=1 (Recommended setting) 封掉IP。

作者: cpuer 时间: 2009-10-9 19:53
##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO="root"

某攻击IP被封后发邮件到root邮箱账户。

作者: cpuer 时间: 2009-10-9 19:54
##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600

攻击IP被封的实际长短，如上为600秒。

作者: ATOM 时间: 2009-10-9 20:09

原帖由 zyypp 于 2009-10-9 19:21 发表
我昨天装了没感觉到什么效果呵呵

你试试设置成APF_BAN=0
默认用的APF防火墙,这个一般都没安装的

作者: ATOM 时间: 2009-10-9 20:10
老大解释的很仔细啊.
谢谢了.

作者: cpuer 时间: 2009-10-9 20:11
标题: 回复 14# 的帖子

作者: cpuer 时间: 2009-10-9 20:12
标题: 回复 13# 的帖子
freebsd系统有安装这个防火墙。

作者: zyypp 时间: 2009-10-9 21:55

原帖由 51f.net 于 2009-10-9 20:09 发表

你试试设置成APF_BAN=0
默认用的APF防火墙,这个一般都没安装的

我一会试试

作者: zyypp 时间: 2009-10-9 22:28
标题: 回复 17# 的帖子
测试了我把连接数改为 5 然后无限刷新测试确实无法访问了可是 iptables 也没发现有添加什么信息
只是在 ignore.ip.list 文件里自动把我用来刷新的 IP 给记录进去了呵呵

作者: zyypp 时间: 2009-10-9 22:52
标题: 回复 18# 的帖子
额不对 iptables 里也添加了一条规则而且还是把那个IP的网关路由直接封掉了

作者: zyypp 时间: 2009-10-9 22:52
直接屏蔽感觉和直接屏蔽一个网段差不多了呵呵

作者: cpuer 时间: 2009-10-9 23:17
标题: 回复 19# 的帖子

不会误伤无辜？

作者: zyypp 时间: 2009-10-9 23:27
绝对会的呵呵

作者: cpuer 时间: 2009-10-9 23:39
标题: 回复 22# 的帖子
太狠了

作者: zyypp 时间: 2009-10-9 23:41
标题: 回复 23# 的帖子
一会我用两个 vps 对着试试之间路由有6跳嘿嘿

作者: cpuer 时间: 2009-10-10 00:03
最终会少掉2跳？

作者: zyypp 时间: 2009-10-10 00:18
标题: 回复 25# 的帖子
因为最后一条有防火墙呵呵之前一跳就不知道

我刚才用两个美国 vps 互相测试了之间路由有6跳
这回在iptables 里添加的是我另一个 vps 的直接ip 没有牵扯其他
不过在 iptables 中显示的还是不是 ip 而是路由监测出来的那个名字 (正常iptables 规则怎么显示我还真么注意过呵呵)

所以感觉如果在路由探测是漏了几跳那么牵扯范围就会根据漏掉的跳数变大嘿嘿

[ 本帖最后由 zyypp 于 2009-10-10 00:20 编辑 ]

作者: cpuer 时间: 2009-10-10 00:22
标题: 回复 26# 的帖子
这么看来屏蔽的是RDNS好像。

作者: zyypp 时间: 2009-10-10 00:22

作者: zyypp 时间: 2009-10-10 00:27
那么这个参数 NO_OF_CONNECTIONS 日常中设置为多少比较好呢

作者: cpuer 时间: 2009-10-10 10:44
标题: 回复 29# 的帖子
严格点吧，官网推荐100？

作者: zyypp 时间: 2009-10-10 17:16
额 100啊
还有啊我发现这个有3个版本
http://www.inetbase.com/scripts/

作者: cpuer 时间: 2009-10-10 17:20
标题: 回复 31# 的帖子
真多。

作者: zyypp 时间: 2009-10-10 17:22
标题: 回复 32# 的帖子
凌晨下载下来还没研究呢呵呵

作者: zyypp 时间: 2009-10-10 19:01
刚才对比过了发现 ddos2 和 ddos 的区别就只对 ddos.sh 中的
查询链接这一条命令进行了修改 (版本号都是0.6)
v2版的
netstat -ntu | awk '{print $5}' | egrep -o "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}" | sort | uniq -c | sort -nr
以前的
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

作者: cpuer 时间: 2009-10-10 19:36
标题: 回复 34# 的帖子
v2版的
netstat -ntu | awk '{print $5}' | egrep -o "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}" | sort | uniq -c | sort -nr
以前的
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

解释下吧。

作者: zyypp 时间: 2009-10-10 19:52
标题: 回复 35# 的帖子
解释什么啊?!

作者: zyypp 时间: 2009-10-10 19:56
这两个命令吗?!

作者: zyypp 时间: 2009-10-10 20:00
netstat -ntu | awk '{print $5}'
查看当前连接并只显示第五部分也就是远程主机的IP

egrep -o "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}"
筛选只显示数字机构的IP
cut -d: -f1
会显示其他信息 IPv6的哪些16进制字段也会显示

sort | uniq -c | sort -nr
用来统计每条记录的总数就不用说了

作者: cpuer 时间: 2009-10-10 20:02
标题: 回复 38# 的帖子
大体明白了，刷选IP的流程。

作者: zyypp 时间: 2009-10-10 20:04
标题: 回复 39# 的帖子
恩恩

欢迎光临全球主机交流论坛 (https://4414.19990909.workers.dev/)