linux系统怎么防止DDOS攻击 用squid是利用端口映射的功能，可以将80端口转换一下，其实一般的DDOS攻击可以修改/proc/sys/net/ipv4/tcp_max_syn_backlog里的参数就行了，默认参数一般都很小，设为8000以上，一般的DDOS攻击就可以解决了。如果上升到timeout阶段，可以将/proc/sys/net/ipv4/tcp_fin_timeout设小点。大家都在讨论DDOS，个人认为目前没有真正解决的方法，只是在缓冲和防御能力上的扩充，跟黑客玩一个心理战术，看谁坚持到最后，网上也有很多做法，例如syncookies等，就是复杂点。sysctl -w net.ipv4.icmp_echo_ignore_all=1echo1>/proc/sys/net/ipv4/tcp_syncookiessysctl -w net.ipv4.tcp_max_syn_backlog="2048"sysctl -w net.ipv4.tcp_synack_retries="3"iptables -A INPUT -i eth0 -p tcp--syn -j syn-flood#Limit12connectionspersecond(burstto24)iptables- A syn-flood -m limit --limit 12/s --limit-burst 24 -j RETURN这个地方可以试着该该：iptbales -A FORWARD -p tcp--syn-m limit --limit1/s -j ACCEPT虚拟主机服务商在运营过程中可能会受到黑客攻击，常见的攻击方式有SYN，DDOS等。通过更换IP，查找被攻击的站点可能避开...

Linux网卡配置与绑定Redhat Linux的网络配置，基本上是通过修改几个配置文件来实现的，虽然也可以用ifconfig来设置IP，用route来配置默认网关，用hostname来配置主机名，但是重启后会丢失。相关的配置文件 /ect/hosts 配置主机名和IP地址的对应 /etc/sysconfig/network 配置主机名和网关 /etc/sysconfig/network-scripts/ifcfg-eth0 eth0配置文件，eth1则文件名为ifcfg-eth1，以此类推 一、网卡配置假设我们要配置主机名为test，eth0的IP地址192.168.168.1/24，网关地址192.168.168.250则/etc/sysconfig/network文件内容如下：NETWORKING=yesHOSTNAME=testGATEWAY=192.168.168.250eth0对应的配置文件/etc/sysconfig/network-scripts/ifcfg-eth0内容如下：DEVICE=eth0BOOTPROTO=staticIPADDR=192.168.168.1NETMASK=255.255.255.0TYPE=EthernetONBOOT=yes 二、单网卡绑定多个IP有时，我们需要在一块网卡上配置多个IP，例如，在上面的例子中，我们还需要为eth0配置IP 192.168.168.2和192.168.168.3。那么需要再在/etc/sysconfig/network-scripts下新建两个配置文件：ifcfg-eth0:0内容如下：DEVICE=eth0:0BOOTPROTO=staticIPADDR=192.168.168.2NETMASK=...

Linux多网卡绑定聚合与交换机配置配置网卡聚合之后，网络出口带宽会得到很大的提升。做网卡聚合，需要两端上都做配置，一端是交换机端，另一端是服务器端首先看下交换机下的聚合命令配置，很简单：操作步骤如下：1.在交换机上创建虚拟链路聚合口2.把对应想聚合的端口加入虚拟聚合口就行了其他操作，就把虚拟聚合口当成真实的端口操作就行了交换机下的操作：   华为：int eth-trunk 3 创建虚拟聚合口3              int  e0/0/24                    eth-trunk 3   把该端口加入虚拟聚合口  h3c: int Bridge-Aggregation 1   创建虚拟聚合组1     int e0/0/14     port link-aggregation group 1   把该端口加入到聚合组1交换机配置完成   Solaris 10下的操作.ifconfig  bge0 unplumbifconfig  bge1 unplumbifconfig –a                                      ####确认网卡未做配置dladm create-aggr -d bge0 -...

Debian 6安装VNC 1、VPS主机，先重装一下系统，换成Debian的。2、然后执行以下命令安装图像内核和Gnomes桌面环境，安装的过程中可能需要选择键盘模式。 apt-get update apt-get install x-window-system-core apt-get install gnome-desktop-environment 3、接着执行以下命令安装Vncserver，设置好密码。 apt-get install tightvncserver 4、执行：vi ~/.vnc/xstartup，编辑配置文件，将x-terminal-emulator前面的#号去掉，/etc/X11/Xsession前加上#号，最后一行加上：gnome-session &，修改结果如下图所示： xrdb $HOME/.Xresources xsetroot -solid grey x-terminal-emulator -geometry 80×24+10+10 -ls -title “$VNCDESKTOP Desktop” & #x-window-manager & # Fix to make GNOME work #export XKL_XMODMAP_DISABLE=1 #/etc/X11/Xsession gnome-session & 5、最后，执行：tightvncserver :1 ，重新启动tightvncserver。6、打开VNC本地客户端，服务器地址处一般填写是：IP:1，因为VPS.me免费VPS使用了端口跳转，所以这里服务器地址处填写：IP:自定义端口。7、使用VNC连接上了VPS主机后，就可以看到VPS的桌面了。

Haproxy、Keepalived双主高可用负载均衡  在测试了Nginx+Keepalived的负载均衡后，也对Haproxy+Keepalived双主模式做了测试，双主的模式充分利用了服务器资源，这样不会导致服务器浪费。这里举例说明： 默认情况下，第一台负载均衡器主要分发www.zhirs.com的请求，第二台负载均衡器主要分发img.zhirs.com的请求。 任意一台宕机都不会影响网站分发。实验环境 VIP1=192.168.137.200 (www.zhirs.com) VIP2=192.168.137.100 (img.zhirs.com) haproxy01=192.168.137.254 haproxy02=192.168.137.253 web1=192.168.137.201 web2=192.168.137.202 img1=192.168.158.101 img2=192.168.158.102 架构图 安装配置过程1、安装配置过程，（两台Haproxy的安装配置步骤一样） haproxy下载地址：http://haproxy.1wt.eu/download/1.4/src/haproxy-1.4.24.tar.gz1234567#cd /usr/local/src#wget http://haproxy.1wt.eu/download/1.4/src/haproxy-1.4.24.tar.gz#tar xf haproxy-1.4.24.tar.gz#cd haproxy-1.4.24#make TARGET=linux26 ARCH=x86_64#TARGET是指定内核版本，ARCH指定CPU架构，我使用的是64bit系统#make install2、安装完毕后，创建配置文件和启动文件。123456#mkdir /etc/h...

Nginx的负载均衡方案详解Nginx的负载均衡方案有：1、轮询轮询即Round Robin，根据Nginx配置文件中的顺序，依次把客户端的Web请求分发到不同的后端服务器。配置的例子如下：点击(此处)折叠或打开http{    upstream sampleapp {        server <<dns entry or IP Address(optional with port)>>;        server <<another dns entry or IP Address(optional with port)>>;    }    ....    server{       listen 80;       ...       location / {          proxy_pass http://sampleapp;       }     }上面只有1个DNS入口被插入到upstream节，即sampleapp，同样也在后面的proxy_pass节重新提到。2、最少连接Web请求会被转发到连接数最少的服务器上。配置...

主机配置双线双IP   实现双线（接口）双IP，一般基于两种需求：1. 允分利用多接口，提高服务器的网络吞吐能力。在两个网卡上分别接上网络，分别配置一个IP地址，想像着可以突破服务器本身网卡速度的限制。比如下载服务器，接两根网线，配置两个IP，于是便有了两个网卡上的带宽可以使用。2. 经典的双线双IP，借助于“智能DNS系统”，解决网通、电信网络之间访问的网络瓶颈。想象很美好，但是实际上，并不是那么容易实现的。一般情况下，一台主机的网络参数里有一个“默认网关”。所谓默认网关的意义就是：凡是路由表中没有明确指明应该发往哪里（接口）的数据包，通通发往“默认网关”（接口）。那么，当有两个接口（需要分别配置一个IP）的时候，该怎么配置“默认网关”呢？姑且先不管能不能配上两个“默认网关”，对于系统来说，系统是不是会犯迷糊？“两个默认网关，我到底将包发往哪儿？”所以，并不是想当然的，给系统的两个接口上配置两个IP，然后就可以想当然的实现“双IP了”。在Windows 2003上，是不允许配两个不在同一网络（IP不在同一子网——可以简单的认为不在同...

Linux被DDOS&CC攻击解决实例 0x00 背景这两天一个客户反映自己的网站经常出现mysql 1040错误，他的在线用户才不到一千，mysql配置也没问题，vps用的时linode160+刀一个月的。没理由出现这种情况，于是，我进行了一系列的排查。top了一下，mysqld跑到了900%多。0x01 解决方案&思路我怀疑是CC攻击，鉴于系统是centos，我运行了下面的这两行命令。netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20 | netstat -ant |awk '/:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A[i],i}' |sort -rn|head -n20 把请求过多的IP记录下来。174.127.94.* 199.27.128.* 199.27.133.* 开始封禁IP，具体可以看我下面运行的命令。本文主要是采用iptables进行封禁，iptables使用方法请见：Iptables入门教程iptables -I INPUT -s 174.127.94.0/16 -j DROP iptables -I INPUT -s 199.27.128.0/16 -j DROP iptables -I INPUT -s 199.27.133.0/16 -j DROP iptables -I INPUT -s 193.1.0.0/8 -j DROP 【慎用封禁整个段】 运行上面这些命令之后我们已经完成...

Centos7正式版不支持yum install mysql-server  已经被 MariaDB 取代原来的系统启动服务，已经被 systemctl 所接管，原来的设置为服务脚本已经不被支持，所以安装脚本需要改造或采用手动方式。kangle(enterprise version)的安装过程跟以前系统一样，装完后设置为自动启动服务：在/usr/lib/systemd/system/目录下新建kangle.service,内容如下：[Unit]Description=Kangle Web ServiceAfter=syslog.target network.target[Service]Type=forkingExecStart=/vhs/kangle/bin/kangleExecStop=/vhs/kangle/bin/kangle -q[Install]WantedBy=multi-user.target然后建立链接ln -s '/usr/lib/systemd/system/kangle.service' '/etc/systemd/system/multi-user.target.wants/kangle.service'启动kanglesystemctl start kangle.service关闭kanglesystemctl stop kangle.service设置为开机自动启动systemctl enable kangle.service复制代码Easypanel采用手动安装，就是不用ep.sh来安装，当然可以把ep.sh脚本全部修改为支持centos7的脚本来安装。先安装一些常用的yum install wget make gcc gcc-c++yum install pcre-devel zlib-develyum install openssl-devel sqlite-develyum in...

简单的Nginx+Squid+Tomcat架构 配置细节：1. #Ninx Confuser  nobody nobody;worker_processes 10;error_log  /usr/local/nginx/logs/nginx_error.log  crit;pid        /usr/local/nginx/logs/nginx.pid;worker_rlimit_nofile 10240events{   use epoll;   worker_connections 10240;}http{   include       mime.types;   default_type  application/octet-stream;   server_names_hash_bucket_size 128;   client_header_buffer_size 32k;   large_client_header_buffers 4 32k;   sendfile on;   tcp_nopush     on;   keepalive_timeout 60;   tcp_nodelay on;   gzip on;   gzip_min_length  1k;   zip_buffers     4 16k;   gzip_http_version 1.0;   gzip_comp_level 2;   gzip_types       text/plain application/x-javascript text/css application/xml;   gzip_vary...