用Iptables 屏蔽來自某個國家的IP

星期六我們一位客戶受到攻擊，我們的網絡監測顯示有連續6小時的巨大異常流量，我們立即聯系了客戶，沒有得到回應，我們修改和限制了客戶的 VPS，使得個别 VPS 受攻擊不會對整個伺服器和其他 VPS 使用者造成任何影響，我們一直保持這個 VPS 為開通狀态（盡管一直受攻擊），攻擊又持續了24小時，星期天攻擊仍在繼續，我們忍無可忍，但是仍然無法聯系到客戶，我們向客戶網站的另一負責人詢問是否需要我們介入來幫助解決，這位負責人答應後我們立即投入到與 DDoS 的戰鬥中（我們動态掃描屏蔽壞 IP，現在客戶網站已恢複。整個過程很有意思，以後有時間再寫一篇部落格來描述）。登入到客戶 VPS 第一件事情就是查目前連接配接和 IP，來自中國的大量 IP 不斷侵占80端口，典型的 DDos. 是以第一件事是切斷攻擊源，既然攻擊隻攻80端口，那有很多辦法可以切斷，直接關閉網站伺服器、直接用防火牆/iptables 切斷80端口或者關閉所有連接配接、把 VPS 網絡關掉、換一個 IP，⋯，等等。因為攻擊源在國内，是以 VPSee 決定切斷來自國内的所有通路，這樣看上去網站好像是被牆了而不是被攻擊了，有助于維護客戶網站的光輝形象：D，那麼如何屏蔽來自某個特定國家的 IP 呢？

有了國家的所有 IP 位址，要想屏蔽這些 IP 就很容易了，直接寫個腳本逐行讀取 cn.zone 檔案并加入到 iptables 中：

好 IP 和壞 IP 都被屏蔽掉了，這種辦法當然不高明，屏蔽 IP 也沒有解決被攻擊的問題，但是是解決問題的第一步，屏蔽了攻擊源以後我們才有帶寬、時間和心情去檢查 VPS 的安全問題。公布一份我們客戶被攻擊的網絡流量圖，在18點到0點所有帶寬都被攻擊流量占用，這時候客戶無法登入 VPS，通路者也無法通路網站：

本文轉自holy2009 51CTO部落格，原文連結:http://blog.51cto.com/holy2010/517739