5

我有很多从数据中心到我在 FreeBSD 上的 Web 服务器的请求,有时我的 Web 项目有很多性能问题。将所有 IP 的数据中心添加到 IPFW 列表是不可能的。

我不想使用大型 Anti-DDoS 系统,而是想创建 bash 脚本来连接到我的服务器,按 IP 过滤并添加到现在连接超过 5 个线程的 IPFW 表 IP 地址。或者也许在 IPFW 上创建几个表,并按表添加:

  • 0 < 5: - 没有
  • 5 < 10: - 表 1(15 分钟禁赛)
  • 10 < 15: - 表 2(30 分钟禁赛)
  • 15 < 20: - 表 3(60 分钟禁赛)
  • 更多 20: - 表 4 (1 天禁令)

按 IP 过滤应按主机名跳过 Google IP 和其他搜索引擎 ip。

这是我的 grep 连接和排序脚本:

netstat -nptcp | egrep -v 'Active|Address' | awk '{print $5}' | cut -d. -f 1-4 | sort | uniq -c | sort -n | tail -n 30

解析日志文件太糟糕了,因为日志文件有时很大,我必须到额外的资源 web 服务器来解析和排序。

所以,我想过,也许在 PHP 上创建这个脚本?但是如果 PHP crashES,服务器将不受保护。

还有其他需要注意的事项吗?

4

1 回答 1

2

用 PHP 做这项工作是个坏主意。如果您对下面提到的脚本接口有任何经验,我强烈建议您这样做;否则你别无选择,除了 PHP,它可以用一点点麻烦来完成。

与下面列出的问题相比,PHP 脚本崩溃并不是什么大问题。

  1. 您必须为您的 PHP 脚本授予超级用户权限,以便它可以访问系统资源,如果您的服务器面向 Web,这可能会非常糟糕。
  2. PHP 将无法执行系统级任务,例如访问网络连接列表、过滤并将它们添加到防火墙配置以进行阻止等;这样做会很痛苦。

您可能想尝试 BASH/Perl/Python,无论您觉得舒服,并在沙盒模型中创建一个单独的脚本(创建一个用户并在 sudoers 中为其添加权限,仅用于所需的任务,并使其远离运行网络服务器或互联网上的任何其他任务)

于 2015-10-10T16:47:46.417 回答