全球主机交流论坛

标题: linux防phpddos [打印本页]

---

作者: dantengde    时间: 2013-8-12 18:27
标题: linux防phpddos
　一、禁止本机对外发送UDP包

　　iptables -A OUTPUT -p udp -j DROP

　　二、允许需要UDP服务的端口(如DNS)

　　iptables -I OUTPUT -p udp --dport 53 -d 8.8.8.8 -j ACCEPT

　　绿色“53”，为DNS所需要的UDP端口，黄色“8.8.8.8”部分为DNS IP，根据您服务器的设定来定，若您不知您当前服务器使用的DNS IP，可在SSH中执行以下命令获取：

　　cat /etc/resolv.conf |grep nameserver |awk 'NR==1{print $2 }'

不过改良版的脚本好像无视这个的

---

作者: 判官    时间: 2013-8-12 18:46
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: HHBilly    时间: 2013-8-12 19:54
魔高一丈

---

作者: ★Extreme★    时间: 2013-8-12 20:02
如果真的要把你服务器搞掉，对着DNS服务器的53端口发包也行……

---

作者: ★Extreme★    时间: 2013-8-12 20:06

HHBilly 发表于 2013-8-12 19:54
魔高一丈

求十元财务面板！

---

作者: 过客    时间: 2013-8-12 21:00

★Extreme★ 发表于 半小时前
如果真的要把你服务器搞掉，对着DNS服务器的53端口发包也行……

极品，精辟

---

作者: SKIDROW    时间: 2013-8-12 21:08

★Extreme★ 发表于 2013-8-12 20:02
如果真的要把你服务器搞掉，对着DNS服务器的53端口发包也行……

他防的是发包，他自己又不是NS……

---

作者: dantengde    时间: 2013-8-12 21:13

SKIDROW 发表于 2013-8-12 21:08
他防的是发包，他自己又不是NS……

正解。只是防发包。

---

作者: ★Extreme★    时间: 2013-8-12 21:46

SKIDROW 发表于 2013-8-12 21:08
他防的是发包，他自己又不是NS……

你理解能力有极度之大的问题！自己没搞清楚我说的话还好意思出来摆架势！我是说用你虚拟主机的人一样可以对着ns服务器发包，反正一样可以发到53端口去，不管dns服务器有没有事，你自己的服务器就是有事！

---

作者: SKIDROW    时间: 2013-8-12 21:56

★Extreme★ 发表于 2013-8-12 21:46
你理解能力有极度之大的问题！自己没搞清楚我说的话还好意思出来摆架势！我是说用你虚拟主机的人一样可以 ...

如果他知道DNS的地址的话……虚拟主机的限制要搞DDOS是很难的，我搞过大多的空间，国内外能DDOS DNS的且影响到整个网络的没几个。
并且谁会用PHPDDOS去D DNS，DNS不是目标，如果要整服务器或者机房的话TCP的就够了……PHP本身运行非ROOT权限，不能生成原生包，只能是已有的结构，发现后屏蔽比原生包的要简单。

---

作者: HHBilly    时间: 2013-8-12 22:04

★Extreme★ 发表于 2013-8-12 20:06
求十元财务面板！

扣扣联系。。。

---

作者: Captain    时间: 2013-8-13 00:15
发现好几个通过53端口发包的，这个有效，但是无法全防
用星外php的安装包吧，屏蔽掉攻击函数了

---

作者: loveminds    时间: 2013-8-13 00:40

★Extreme★ 发表于 2013-8-12 20:02
如果真的要把你服务器搞掉，对着DNS服务器的53端口发包也行……

从外部攻击服务器的53端口？一，服务器不装bind 二，攻击不大的话前端的思科和安氏领信直接搞定

---

作者: ★Extreme★    时间: 2013-8-13 08:01

loveminds 发表于 2013-8-13 00:40
从外部攻击服务器的53端口？一，服务器不装bind 二，攻击不大的话前端的思科和安氏领信直接搞定 ...

我意思是在你服务器上对着你的DNS服务器的53端口发包！

---

作者: dantengde    时间: 2013-8-13 08:04

Captain 发表于 2013-8-13 00:15
发现好几个通过53端口发包的，这个有效，但是无法全防
用星外php的安装包吧，屏蔽掉攻击函数了 ...

屏蔽函数，怕是会影响到其他程序的正常。星外的是win的，这个是linux的，星外那个用不成了啊

---

作者: loveminds    时间: 2013-8-13 13:36

★Extreme★ 发表于 2013-8-13 08:01
我意思是在你服务器上对着你的DNS服务器的53端口发包！

思科和安氏应该可以双向拦截吧

---

作者: ybbao    时间: 2013-8-13 14:04
这个屏蔽命令也有修改的地方，今天才试过。改进版的命令效果好点。

---

作者: lonefly    时间: 2013-8-13 14:05
php.ini 修改allow_url_fopen = Off

---

作者: dantengde    时间: 2013-8-14 08:06

ybbao 发表于 2013-8-13 14:04
这个屏蔽命令也有修改的地方，今天才试过。改进版的命令效果好点。

求改进版

---

作者: dantengde    时间: 2013-8-14 23:18

ybbao 发表于 2013-8-13 14:04
这个屏蔽命令也有修改的地方，今天才试过。改进版的命令效果好点。

求 指点

---

作者: dantengde    时间: 2013-8-21 22:11

ybbao 发表于 2013-8-13 14:04
这个屏蔽命令也有修改的地方，今天才试过。改进版的命令效果好点。

求改进版

---

欢迎光临 全球主机交流论坛 (https://lilynana.eu.org/)

Powered by Discuz! X3.4