防人之心不可无。 网上总有些无聊或者有意的人。不多说了。上干货，配置vps apf防小流量ddos攻击。关于大流量的ddos攻击， 需求机房的硬件防火墙，vps内部可能也扛不住。

1. 装置 DDoS deflate

DDoS deflate的原理是经过netstat命令找出 发出过量衔接的单个IP，并运用iptables防火墙将这些IP停止回绝。由于iptables防火墙回绝IP的衔接远比从Apache层面上来得高效，因而iptables便成了运转在Apache前端的“过滤器”。同样的，DDoS deflate也能够设置采用APF（高级防火墙）停止IP阻止。

主要功用与配置

1、能够设置IP白名单，在 /usr/local/ddos/ignore.ip.list 中设置即可；

2、主要配置文件位于 /usr/local/ddos/ddos.conf ，翻开此文件，依据提示停止简单的编辑即可；

3、DDoS deflate能够在阻止某一IP后，隔一段预置的时分自动对其解封；

4、能够在配置文件中设置多长时间检查一次网络衔接状况；

5、当阻止IP后，能够设置Email提示

简单配置一下：

2. 装置配置apf

APF(Advanced Policy Firewall)是 Rf-x Networks 出品的Linux环境下的软件防火墙,被大局部Linux效劳器管理员所采用,运用iptables的规则,易于了解及运用。合适对iptables不是很熟习的人运用，由于它的装置配置比拟简单，但是功用还是十分强大的。

脚本装置：

ubuntu 能够快速装置：

配置：

往后翻页，找到：

默许只要22端口开放。 我们先不论。 访问以下80端口的网站试试。 发现居然能够访问。 为什么规则没有起作用。继续查看配置文件。 找啊找。这一行惹起了我的留意：

忽然想到， 会不会是监听端口的问题。我们晓得， 假如是真实效劳器或者是 xen虚拟化的vps， 其网卡是 eth*。  例如：

忽然想到， 会不会是监听端口的问题。我们晓得， 假如是真实效劳器或者是 xen虚拟化的vps， 其网卡是 eth*。  例如：

但是， 我这台vps是openvz虚拟化的。 它的网卡普通是 vnet* 的。 比方：

于是改上面的配置文件：

重启 apf：

提示说找不到 ip_tables 模块。

ip_tables

apf(4677): {glob} unable to load iptables module (ip_tables), aborting.

于是搜索：  ubuntu  apf  找到这篇文章

大致意义是说， 在ubuntu中， iptables默许被编译进了内核， 而不是以模块方式运转的。apf默许是运用模块方式调用iptables。 所以要修正apf的配置：

SET_MONOKERN="1"

然后重启 apf

然后看到一长串的日志：

看样子是胜利了。

试一下， 果真80端口不能访问了。

只要22还在。

回到配置文件， 我们把端口开放：

找到：

保管，重启：  apf –r

再访问以下，胜利了。

最后， 关闭apf的调试形式，正式上线：

找到：

改成 0：