Linux系統怎么防范CC攻擊

　　你是否有遇到這樣的情況，明明服務器正常運行，用戶訪問網站人數正常，卻出現網頁很卡，直到奔潰的情況，出現這種情況多半是被CC攻擊了，預防勝于治療，下面小編以Linux系統為例，給大家介紹下Linux如何防止CC攻擊。

　　什么是CC攻擊

　　cc攻擊簡單就是（ChallengeCollapsar）

　　CC攻擊的原理就是攻擊者控制某些主機不停地發大量數據包給對方服務器造成服務器資源耗盡，一直到宕機崩潰。CC主要是用來攻擊頁面的，每個人都有這樣的體驗：當一個網頁訪問的人數特別多的時候，打開網頁就慢了，CC就是模擬多個用戶（多少線程就是多少用戶）不停地進行訪問那些需要大量數據操作（就是需要大量CPU時間）的頁面，造成服務器資源的浪費，CPU長時間處于100%，永遠都有處理不完的連接直至就網絡擁塞，正常的訪問被中止。

　　防止CC攻擊方法

　　用防止這CC攻擊有兩種方法

　　第一種就是利用本機的防火墻來解決可以安裝CSF之內的防火墻，這種的弊端是只能防止小規模的CC攻擊和DDOS（我的站在阿里云，所以不用太擔心DDOS）CC攻擊比較猛的話機器也直接CUP跑滿了。

　　第二種方式是添加CDN，這種防止CC攻擊的方法是最好的，不過CDN一般都要錢。

　　現在就來談談具體換防護，

　　首先安裝CSF防火墻，這個比較簡單而且不用改域名什么的，小規模的就直接解決了。

　　一、安裝依賴包：

　　yum install perl-libwww-perl perl iptables

　　二、下載并安裝 CSF：

　　wget http://www.configserver.com/free/csf.tgz

　　tar -xzf csf.tgz

　　cd csf

　　sh install.sh

　　三、測試 CSF 是否能正常工作：

　�。踨oot@localhost csf］# perl /etc/csf/csftest.pl

　　Testing ip_tables/iptable_filter.。.OK

　　Testing ipt_LOG.。.OK

　　Testing ipt_multiport/xt_multiport.。.OK

　　Testing ipt_REJECT.。.OK

　　Testing ipt_state/xt_state.。.OK

　　Testing ipt_limit/xt_limit.。.OK

　　Testing ipt_recent.。.OK

　　Testing xt_connlimit.。.OK

　　Testing ipt_owner/xt_owner.。.OK

　　Testing iptable_nat/ipt_REDIRECT.。.OK

　　Testing iptable_nat/ipt_DNAT.。.OK

　　RESULT： csf should function on this server

　　四、csf的配置：

　　CSF的配置文件是

　　vim /etc/csf/csf.conf

　　# Allow incoming TCP ports

　　# 推薦您更改 SSH 的默認端口（22）為其他端口，但請注意一定要把新的端口加到下一行中

　　TCP_IN = “20，21，47，81，1723，25，53，80，110，143，443，465，587，993，995〃

　　# Allow outgoing TCP ports同上，把 SSH 的登錄端口加到下一行。

　　# 在某些程序要求打開一定范圍的端口的情況下，例如Pureftpd的passive mode，可使用類似 30000:35000 的方式打開30000-35000范圍的端口。

　　TCP_OUT = “20，21，47，81，1723，25，53，80，110，113，443〃

　　# Allow incoming UDP ports

　　UDP_IN = “20，21，53〃

　　# Allow outgoing UDP ports

　　# To allow outgoing traceroute add 33434:33523 to this list

　　UDP_OUT = “20，21，53，113，123〃

　　# Allow incoming PING 是否允許別人ping你的服務器，默認為1，允許。0為不允許。

　　ICMP_IN = “1〃

　　以上這些配置大家一看就懂了，下面再介紹幾個比較常用的：