CC（ChallengeCollapsar）攻击者会利用一个或多个IP（通过代理服务器或肉鸡）向您的网站频繁发起请求，直到服务器资源耗尽，甚至宕机崩溃。

fail2ban是由Python语言开发监控软件，通过监控系统日志的登录信息来调用iptables屏蔽相应登录IP，以阻止某个IP恶意访问。因为CentOS7已经自带Firewalld，并且使用Firewalld作为网络防火墙更加简单方便，而且宝塔面板可以在文件管理中编辑jail.conf，无形中也降低了使用难度。今天我们就来谈谈巧用fail2ban+Firewalld防止爆破与CC攻击。

一：安装fail2ban

宝塔面板默认的是Firewalld已经是在运行了，而且宝塔面板自带的安全设置也是基于Firewalld，所以和fail2ban搭配起来使用也是更简单。fail2ban对应日志文件，Debian/Ubuntu:/var/log/auth.log、CentOS/Redhat:/var/log/secure。命令如下：

#CentOS内置源并未包含fail2ban，需要先安装epel源，宝塔面板默认安装好了epel源，可以不用安装这个。直接安装fail2ban即可。

yum-yinstallepel-release

yum-yinstallfail2ban

fail2ban安装好之后，如下显示，

这样就安装好了fail2ban。安装成功后fail2ban配置文件位于，其中为主配置文件，相关的匹配规则位于目录，其它目录/文件一般很少用到，如果需要详细了解可自行搜索。宝塔面板使用fail2ban相对来说会很方便，我们可以在文件管理中找到并且编辑，路径是：/etc/fail2ban，图示：

二：配置规则

安装完成后主要的配置文件在/etc/fail2ban目录下，简单介绍如下：

fail2ban.conf：配置文件里面定义了fail2ban记录的日志等级、日志文件的位置以及socket。

jail.conf里面定义了对那些服务进行监控，以及使用的一些策略。

jail.conf里面开头是默认全局配置块[DEFAULT]，默认配置规则说明如下：（宝塔面板用户编辑jail.conf，我们从47行开始）！

#忽略哪些IP，可以是具体IP、CIDR类型的地址，多个IP用空格或都好分开，这里相当于ip地址白名单，还需要注意把自己的IP加入白名单，动态IP的可以绑定一个白名单域名，这样防止防止自己不小心测试或者什么的，被BAN了，自己的服务器都连接不上

#设置IP被锁住的时间，单位为秒

#检测时间，在此时间内超过规定的次数会激活fail2ban

#日志检测机器，有"gamin","polling"and"auto"三种模式。

destemail=root@localhost#默认的动作执行行为，在action.d目录下有各种行为策略

banaction=iptables-multiport

#0.8.1版本后fail2ban默认用sendmailMTA

#banaction参数在action.d目录下具体定义，nameportprotocol也可以自己定义

action_=%(banaction)s[name=%(__name__)s,port="%(port)s",protocol="%(protocol)s]

action_mw=%(banaction)s[name=%(__name__)s,port="%(port)s",protocol="%(protocol)s]

%(mta)s-whois[name=%(__name__)s,dest="%(destemail)s",protocol="%(protocol)s]

#禁止IP、发送email、报告有关日志

action_mwl=%(banaction)s[name=%(__name__)s,port="%(port)s",protocol="%(protocol)s]

%(mta)s-whois-lines[name=%(__name__)s,dest="%(destemail)s",logpath=%(logpath)s]

#如果没有定义行为，则默认的行为为action，可选择action_,action_mw,action_mwl等

#定义port，可以是数字端口号表示，也可以是字符串表示

#过滤规则，在filter.d目录下定义

logpath=/var/log/auth.log

#尝试的次数，覆盖了全局配置的

#banaction在action.d目录下定义，此参数值会替换action中选用的默认行为中定义的banaction参数

banaction=iptables-allports

#注意portprotocolbanaction可以不用分开定义，直接使用action定义也可以，例如：

#action=iptables[name=SSH,port=ssh,protocol=tcp]

#在子模块中定义的portprotocolbanaction都会在action_action_mw,action_mwl中替换成具体的设置值。

三：CC攻击示例和ssh爆破

Fail2ban服务的配置文件在/etc/fail2ban目录。在其中可以找到jail.conf配置文件，我不会直接编辑这个文件，因为在升级软件包时，会覆盖这个文件，使配置失效。我们应该创建一个新文件jail.local，在jail.local定义的值会覆盖jail.conf中的值。

3.1.我们来创建一个jail.local文件：

vi/etc/fail2ban/jail.local

宝塔面板直接在文件管理中新建文件即可，文件名为jail.local配置如下：

banaction=firewallcmd-ipset

action=%(action_mwl)s

注意：fail2ban在用的时候，把自己的IP加入白名单，动态IP的可以绑定一个白名单域名，这样防止防止自己不小心测试或者什么的，被BAN了，自己的服务器都连接不上（大鸟本地测试就这样连不上服务器了。）

继续修改这个配置文件，在后面追加如下内容：

logpath=/var/log/secure

到这一步，我们的规则看起来可能像下面这样子：

banaction=firewallcmd-ipset

logpath=/var/log/secure

上面的配置意思是如果同一个IP，在10分钟内，如果连续输入5次错误，则使用Firewalld将他IPban了。输入启动fail2ban来试试效果。当然了，你修改一个奇葩点的ssh端口，也不用这个规则了，这里只是为了大家能理解的深刻一点，故意多讲这么几句。

filter.d目录里面定义的是根据日志文件进行过滤的规则，主要是利用正则匹配出现错误的关键字。所以我们新建的规则都是放在filter.d目录。

vi/etc/fail2ban/filter.d/nginx-cc.conf

宝塔面板直接在这个路径下面新建文件，命名为nginx-cc.conf即可。

3.4Fail2ban防CC攻击示例规则：

我们在新建好的nginx-cc.conf中填写如下内容：

failregex=<HOST>-.*-.*HTTP/1.*.*.*$

3.5继续修改追加如下内容：

logpath=/www/wwwlogs/www.daniao..org.log;

上面的配置意思是如果在60s内，同一IP达到20次请求，则将其IPban1小时，记得修改你的网站日志路径。上面只是为了测试，请根据自己的实际情况修改。logpath为nginx日志路径。使用以下命令查看fail2ban状态，大鸟自己小测试了下，果然打不开网页了，说明IP被ban了，可以输入：查看被ban的IP，如下截图。

都到了这一步，我们可以看看这份中总的规则如下：

banaction=firewallcmd-ipset

logpath=/www/wwwlogs/www.daniao.org.log

sshd那个规则一般是不需要的，大鸟也是承接了上面的规则统一下来，希望了解。当然，每改动一次，别忘记输入重启fail2ban使其生效。

#查看被banIP，其中sshd为名称

fail2ban-clientstatussshd

fail2ban-clientsetsshddelignoreip192.168.111.111

tail/var/log/fail2ban.log

#启动后验证fail2ban是否正常运行正常响应内容为Serverreplied:pong

fail2ban-clientping

五：总结

使用Fail2ban应用一般的CC攻击基本上没有什么问题，当然这也不是最好的选择，大鸟之前讲过：宝塔面板6.X开启隐藏的waf防火墙的方法。对于简单的cc防护也有效果，当然，我们还可以编译安装云锁来防止cc，启用Cloudflare防攻击模式：主要作用是访问任何页面的时候强制在CF的认证页面停留5秒，效果非常好用。对应文章大鸟也讲过了【CloudFlare使用方法-DNS解析,SSL证书,防DDoS(5秒盾)攻击和免费CDN加速】里面提到了5秒盾的用法。

当然，我们使用fail2ban+Firewalld来阻止恶意IP是行之有效的办法，可极大提高服务器安全。但是大鸟在安装宝塔面板的服务器上使用fail2ban并非易事，宝塔面板强行修改的东西太多了。到不如lnmp的纯环境来的流畅。

https://www.cnblogs.com/carbon3/p/5607704.html

https://www.xiaoz.me/archives/9831

https://blog.whsir.com/post-3063.html

https://my.oschina.net/guol/blog/52219