DDOS攻击表示分布式拒绝服务攻击_ddos攻击tomcat

网站nginx配置限制单个IP访问频率，预防DDOS恶意攻击

对于网站来说，尤其是流量较大出名的网站，经常遇到攻击，如DDOS攻击等，虽然有些第三方，如Cloudflare可以挡，但对于动态网站PHP来说，只能挡一部分。这时候需要对于单个IP恶意攻击做出限流。nginx的两个模块可以限流。

nginx两个限流模块：

连接频率限制，ngx_http_limit_conn_module：官方文档：

请求频率限制，ngx_http_limit_req_module：官方文档：

网上理论很多，根据名字可知：

当然还是看不懂的话，通俗点讲（相对于时间比较）：

比如秒杀，抢购，连接频率限制和请求频率限制应该配合使用 , 使用连接频率限制同一IP同时只能有3个连接, 再使用请求频率限制对于同一ip的请求，限制平均速率为5个请求/秒 , 这样比单独只使用一种限制要好很多。

比如只使用请求频率限制 , 可以精确地限制同一ip1秒只能发起5次的http请求 , 假如同一ip1秒内发起了100000次请求 , 虽然限制了只有5次成功响应 , 但是其他的99995次的请求TCP握手建立http连接是不是会消耗服务器资源? 所以还需要配合使用。

1、limit_req_zone，示例：

2、limit_conn_zone，示例：

3、搭配一起使用

1、ab命令

ab是apache自带的压力测试工具。一般不用额外安装，ab非常实用，它不仅可以对apache服务器进行网站访问压力测试，也可以对或其它类型的服务器进行压力测试。比如nginx、tomcat、IIS等。

测试命令

2、wrk命令

需自己安装，地址：

安装

测试命令：

还有其他压测工具，自行研究

网页503错误

503是一种HTTP状态码。英文名503 Service Unavailable与404（404 Not Found)是同属一种网页状态出错码。前者是服务器出错的一种返回状态，后者是网页程序没有相关的结果后返回的一种状态，需要优化网站的时候通常需要制作404出错页以便网站整体优化。

由于临时的服务器维护或者过载，服务器当前无法处理请求。这个状况

503

是临时的，并且将在一段时间以后恢复。如果能够预计延迟时间，那么响应中可以包含一个Retry-After起头用以标明这个延迟时间。如果没有给出这个Retry-After信息，那么客户端应当以处理500（Server Internal Error)响应的方式处理它。注意：503状态码的存在并不意味着必须在服务器过载的时候使用它。某些服务器只不过是希望拒绝某些客户端的连接。

网页出现

1、网络管理员可能关闭应用程序池以执行维护。

503错误

2、当请求到达时应用程序池队列已满。

3、应用程序池标识没有使用预定义账户：网络服务，而自己配置了标识，但是配置的这个用户不属于IIS_WPG组

4、应用程序池启用了CPU监视，并且设置了CPU利用率超过一定百分比关闭应用程序池，而开发人员写的服务端页面（.asp,.aspx）执行效率不高，会引起CPU的长时间占用，最终达到设置的百分比，从而引起应用程序池关闭

5、应用程序池的性能选项卡的请求队列限制所填的数值太小，默认为1000。

6、web.config的system.web/httpRuntime节点的appRequestQueueLimit属性设置的值太低。

主机站点

主要原因有两点：

1、该站点正在被攻击。对于最新型的攻击，其实是ddos的一种派生，原理在于找数千个IP，同时向服务器的apache发出请求，然后 立即断开，让apache处于等待状态，致使apache线程全部被填满，致使服务器死机。因此，为了保证大多数客户的利益，我们给每个 空间，作出了每19秒64个php请求的限制。注意，是php请求，一般的图片请求和html请求不包括在内。

503错误

2、该程序占用的php线程过多，有的程序没有进行好优化处理，一个点击即可产生数个，甚至数十个php线程。这样的话，几个点击就可以把该时段的64个php线程全部填满了。因此出现503错误。建议优化一下程序，尽量少用require(“请求”之意)等语句。解决方案：

要解决此问题，按照下列步骤操作：

1.验证是否已为虚拟服务器配置了应用程序池。默认的应用程序池是MSSharePointPortalAppPool。

请按照下列步骤来确定虚拟服务器正在使用的应用程序池。

a.单击“开始”，指向“管理工具”，然后单击“Internet信息服务(IIS)管理器”。

b.展开“ServerName”，展开“Web站点”，右键单击虚拟服务器，然后单击“属性”。

c.单击“主目录”选项卡。为虚拟服务器配置的应用程序池列在“应用程序池”框中。

d.单击“确定”。

2、验证应用程序池帐户使用的密码是否正确。IIS不会自动轮询ActiveDirectory目录服务中的密码更改。如果应用程序池帐户是一个域帐户，其密码已过期，则在为此帐户重新指定一个新密码后，您可能会收到本文“症状”部分所描述的错误信息。

3、验证应用程序池帐户是服务器上的IIS_WPG组和STS_WPG组的成员。

4、重新启动IIS以回收应用程序池。

您的 Web服务器实际上处于“关闭维修”状态。 它仍然在最低限度地运行， 因为它至少可以响应 503 状态码， 但全面服务是不可能的， 即您的网站不可用。 可能的原因有很多， 但一般来说， 是由于您的 Web服务器操作员的人为干预。 通常您就应知道有人正在努力解决此问题，正常服务将被尽快恢复。

请和您网站的系统操作员联系，以确定为什么服务停止了。 和我们比起来，他们将能更好地帮您解决这类错误。

Tomcat 如何防御 攻击

tomcat本身只是个部署服务器，是没有防御能力的，只能在网管上加装防火墙

Linux系统工程师面试题附答案(2)

Linux系统工程师面试题（附答案）

prefork的特点是：(预派生)

1.这种模式可以不必在请求到来时再产生新的进程，从而减小了系统开销

2.可以防止意外的内存泄漏

3.在服务器负载下降的时候会自动减少子进程数

worker的特点是：支持混合的多线程多进程的多路处理模块

如果对于一个高流量的HTTP服务 器，worker MPM是一个比较好的选择，因为worker MPM占用的内存要比prefork要小。

15.名词解释 HDLC,VTP,OSPF,RIP,DDOS,system V,GNU,netscreen,ssh,smartd,apache,WAIT_TIME 等等。

16.编写shell脚本获取本机的网络地址。比如：本机的ip地址是：192.168.100.2/255.255.255.0，那么它的网络地址是

192.168.100.1/255.255.255.0

方法一：

#!/bin/bash

#This script print ip and network

file=”/etc/sysconfig/network-scripts/ifcfg-eth0″

if [ -f $file ] ;then

IP=`grep “IPADDR” $file|awk -F”=” ‘{ print $2 }’`

MASK=`grep “NETMASK” $file|awk -F”=” ‘{ print $2 }’`

echo “$IP/$MASK”

exit 1

fi

方法二：

#!/bin/bash

#This programm will printf ip/network

#

IP=`ifconfig eth0 |grep ‘inet ‘ |sed ‘s/^.*addr://g’|sed ‘s/ Bcast.*$//g’`

NETMASK=`ifconfig eth0 |grep ‘inet ‘|sed ‘s/^.*Mask://g’`

echo “$IP/$NETMASK”

exit

17.在命令行下发一邮件，发件人：123@abc.com, 收信人：abc@xyz.com

二、简述题：

1.linux下如何改IP,主机名，DNS

2.linux下如何添加路由

3.简述linux下编译内核的意义与步骤

4.简述Linux启动过程

5.简述DDOS攻击的原理

6.简述Tcp三次握手的过程

7.简述VPN，常见有哪几种?

三、设计题：

1.系统设计

请考虑以下系统的设计. 您可以翻阅资料，查询任何您有帮助的资料、指南等。

您有的资源：

8台安装Linux (2.6内核) 的双网卡PC服务器以及相关开源软件，交换机

Apache 2.2.x

Tomcat 5.5.X

数据库系统

最多8个Internet IP地址,请您设计一个系统：

1、使用双apache web server前端;

2、采用AJP连接后段的3台Tomcat应用服务器，这些tomcat被配置成cluster, 因此需要考虑apache对后端的分配，分配采用完全平衡的方法;配置使用cookie来实现session stickness;

3、1台数据库服务器只有tomcat才需要连接，也不需要对Internet提供服务。

4、考虑系统的安全性和维护方便性;

5、通过rewrite规则配置把下属URL规则改写成友好的URL

;name=YYYY –

您需要提交

1、服务器规划，包括：

*　网络结构图

*　每台机器的IP地址分配

*　每台机器上运行的关键软件

*　您从安全性和维护性方面的考虑

2、Apache的以下配置文件给我们：

*　extra/http-proxy-ajp.conf

*　extra/http-rewrite.conf

2.你可以采取任何设备和不同操 作系统服务器设计对两台WWW服务器和两台FTP服务器做负载均衡，用网络拓扑图表示并加以说明!(方法越多越好)

第一种方法: DNS轮巡

www1 IN A 192.168.1.1

www2 IN A 192.168.1.2

www3 IN A 192.168.1.3

ftp1 IN A 192.1.1.4

ftp2 IN A 192.1.1.5

ftp3 IN A 192.1.1.6

www IN CNAME www1

www IN CNAME www2

www IN CNAME www3

ftp IN CNAME ftp1

ftp IN CNAME ftp2

ftp IN CNAME ftp3

;