免费防御DDoS攻击：DDoS deflate安装配置与使用指南

什么是DDoS deflate？

DDoS deflate是一款免费、轻量级的DDoS攻击防御工具，适用于Linux服务器。它通过监控网络连接，自动识别并屏蔽异常连接IP，从而减轻DDoS攻击的影响。

工作原理： 定期执行netstat命令，统计每个IP的连接数。当某个IP的连接数超过预设阈值时，自动通过iptables或APF防火墙规则将其屏蔽一段时间。

如何判断服务器是否遭受DDoS攻击？

在服务器上执行以下命令，可以查看当前所有IP的连接数统计：

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

输出示例与解读：

      1 180.97.35.21
      1 180.97.35.36
      1 66.249.79.58
      2 117.136.74.158
      2 171.214.239.34
      3 223.114.118.65
     37 106.187.34.20
    133 106.187.36.20
    157 106.187.35.20

每个IP有几个到几十个连接通常是正常访问。如果出现单个IP有上百甚至上千个连接，则极有可能是DDoS攻击流量。

安装DDoS deflate

注意： 原官方地址已失效，推荐使用GitHub上的维护版本。

方法一：使用GitHub版本（推荐）

git clone https://github.com/jgmdev/ddos-deflate.git
cd ddos-deflate
./install.sh

方法二：使用备用安装脚本（原教程方法，可能已过时）

wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh

配置DDoS deflate

配置文件位于：/usr/local/ddos/ddos.conf。使用文本编辑器（如vi或nano）进行修改：

vi /usr/local/ddos/ddos.conf

关键配置项说明：

# 脚本执行频率（分钟）
FREQ=1

# 触发屏蔽的单个IP最大连接数
NO_OF_CONNECTIONS=150

# 屏蔽方式：1=使用APF，0=使用iptables（推荐）
APF_BAN=0

# 是否执行屏蔽：1=是，0=否（仅检测）
KILL=1

# 屏蔽时通知的邮箱地址
EMAIL_TO="your-email@example.com"

# IP被屏蔽的时长（秒）
BAN_PERIOD=600

重要修复： 旧版本脚本可能因netstat输出包含非IP文本（如“Address”）而导致错误。请检查并修改/usr/local/ddos/ddos.sh（约第117行）：

原行（可能有问题）：

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr > $BAD_IP_LIST

建议修改为：

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sed -n '/[0-9]/p' | sort | uniq -c | sort -nr > $BAD_IP_LIST

修改后，使用sed过滤掉非数字行，避免解析错误。

使用与管理

启动与停止

• 安装后会自动添加定时任务（cron job），默认每分钟检查一次。
• 手动运行脚本：/usr/local/ddos/ddos.sh

查看状态与日志

• 被屏蔽的IP列表：/usr/local/ddos/ddos.log
• 忽略的IP白名单：/usr/local/ddos/ignore.ip.list（可在此添加信任IP）

卸载DDoS deflate

wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 0700 uninstall.ddos
./uninstall.ddos

或直接运行：/usr/local/ddos/uninstall.sh（如果存在）。

注意事项与局限性

• 适用场景： DDoS deflate主要针对小规模的连接型DDoS攻击（如SYN flood、CC攻击）。
• 局限性： 对于大规模分布式攻击（Gbps/Tbps级别）或应用层复杂攻击，单机软件效果有限。
• 推荐组合方案：
  1. 基础设施防护： 使用云服务商提供的DDoS高防IP、云防火墙。
  2. DNS防护： 使用DNSPod、Cloudflare等提供DDoS防护的智能DNS解析。
  3. 服务器层： 结合DDoS deflate、iptables规则、Web服务器（如Nginx）限流模块。

总之，DDoS deflate是一款简单易用的辅助防御工具，适合作为服务器安全加固的一环，但不能替代专业的DDoS防护服务。