第一輪進攻:
突然發現公司的web server無法訪問,嘗試遠端登入,無法連線,呼叫idc重啟伺服器。啟動後立即登入察看,發現攻擊還在繼續,並且apache所有230個程序全部處於工作狀態。由於伺服器較老,記憶體只有512m,於是系統開始用swap,系統進入停頓狀態。於是殺掉所有httpd,稍後伺服器恢復正常,load從140降回正常值。
開始抓包,發現流量很小,似乎攻擊已經停止,嘗試啟動httpd,系統正常。察看httpd日誌,發現來自五湖四海的ip在嘗試login.php,但是它給錯了url,那裡沒有login.php,其他日誌基本正常,除limit rst ....之類較多,由於在攻擊中連線數很大,出現該日誌也屬正常。
觀察10分鐘,攻擊停止。
第二輪進攻:
由於有了前次攻擊經驗,我開始注意觀察web server的狀態,剛好17點50分,機器load急劇公升高,基本可以確定,又一**擊開始。
首先停掉了httpd,因為已經動彈不得,沒辦法。然後抓包,tcpdump -c 10000 -i em0 -n dst port 80 > /root/pkts發現大量資料報湧入,過濾其中ip,沒有非常集中的ip,於是懷疑屬於ddos接下來根據上次從日誌中過濾得到的可疑位址,比較本次抓包結果,發現很多重覆記錄。
分析:這不是簡單的ddos,因為所有httpd程序都被啟動,並且留下日誌,而且根據抓包記錄,每個位址都有完整的三次握手,於是確定,所有攻擊源都是真實存在的,不是虛假的ip。
這樣的可疑ip一共有265個,基本上都是國外的,歐洲居多,尤其西班牙。公司客戶在歐洲的可為鳳毛麟角,只有丟卒保車了。
採取的措施:
把所有265個ip,統統加入_blank">防火牆,全部過濾ipfw add 550 deny tcp from % to me 80,重新啟動httpd。
觀察了3個小時,ipfw列表中所有acl的資料報量仍舊持續增長,但是公司的web server已經工作正常。
至此,此次攻擊暫告一段落,不排除稍後繼續發生,但是由於攻擊者使用的都是真實肉雞,同時掌握超過300個肉雞實屬罕見,因此基本上他不能夠在短期內重新發動進攻。
記一次DDOS攻擊
發生在測試環境,有外網網域名稱。客戶端同學反映介面不能請求,看了下日誌沒有錯誤,重啟了一下可以正常啟動。過了一段時間又不能訪問了,開始排查nginx日誌。發現一瞬間有大量的請求響應碼為404,之後我們的請求響應499。因為測試環境跑了多個服務,記憶體使用率較高98 考慮是不是記憶體不足引起的開始做服...
防禦DDoS 攻擊的方法
遭受 ddos 攻擊的狀況是讓人很為難的,假設有傑出的 ddos 防護辦法,那麼許多問題就將方便的解決,來看看有哪些常用的有用地辦法可以做好 ddos 防護。ddos 防護的辦法 1 選用高效能的網路裝置 首先要確保網路裝置不能變成瓶頸,因而挑選路由器 交換機 硬體防火牆等裝置的時候要盡量選用知名度...
DDos攻擊的防禦方法
到目前為止,進行ddos攻擊的防禦還是比較困難的。首先,這種攻擊的特點是它利用了tcp ip協議的漏洞,除非你不用tcp ip,才有可能完全抵禦住ddos攻擊。不過這不等於我們就沒有辦法阻擋ddos攻擊,我們可以盡力來減少ddos的攻擊。下面就是一些防禦方法 1 確保伺服器的系統檔案是最新的版本,並...