 |
| 人文潜江 | |||||||||
 |
您现在的位置: 潜江酷网 >> 写作助理 >> 电脑教程 >> dos >> 文章正文 |
|
|
| 人文潜江 | |||||||||
|
您现在的位置: 潜江酷网 >> 写作助理 >> 电脑教程 >> dos >> 文章正文 |
|
|||||
| 一次真实的DDoS攻击防御实战 | |||||
作者:佚名 文章来源:不详 点击数: 更新时间:2007-4-15  |
|||||
时间:下午15点0左右 突然发现公司的web server无法访问,尝试远程登录,无法连接,呼叫idc重启服务器。启动后立即登录察看,发现攻击还在继续,并且apache所有0个进程全部处于工作状态。由于服务器较老,内存只有51m,于是系统开始用swap,系统进入停顿状态。于是杀掉所有httpd,稍后服务器恢复正常,load从140降回正常值。 开始抓包,发现流量很小,似乎攻击已经停止,尝试启动httpd,系统正常。察看httpd日志,发现来自五湖四海的IP在尝试loginPHP,但是它给错了url,那里没有loginPHP,其他日志基本正常,除limit RST 之类较多,由于在攻击中连接数很大,出现该日志也属正常。 观察10分钟,攻击停止。 第二轮进攻: 时间:下午17点50分 由于有了前次攻击经验,我开始注意观察web server的状态,刚好17点50分,机器load急剧升高,基本可以确定,又一轮攻击开始。 首先停掉了httpd,因为已经动弹不得,没办法。然后抓包,tcpdump -c 10000 -i em0 -n dst port 80 > /root/pkts发现大量数据报涌入,过滤其中IP,没有非常集中的IP,于是怀疑属于DDoS接下来根据上次从日志中过滤得到的可疑地址,比较本次抓包结果,发现很多重复记录。 分析: 这不是简单的DDoS,因为所有httpd进程都被启动,并且留下日志,而且根据抓包记录,每个地址都有完整的三次握手,于是确定,所有攻击源都是真实存在的,不是虚假的IP。 这样的可疑IP一共有65个,基本上都是国外的,欧洲居多,尤其西班牙。公司客户在欧洲的可为凤毛麟角,只有丢卒保车了。 采取的措施: 把所有65个IP,统统加入_blank">防火墙,全部过滤ipfw add 550 deny tcp from % to me 80,重新启动httpd。 观察了个小时,ipfw列表中所有ACL的数据报量仍旧持续增长,但是公司的web server已经工作正常。 至此,此次攻击暂告一段落,不排除稍后继续发生,但是由于攻击者使用的都是真实肉鸡,同时掌握超过00个肉鸡实属罕见,因此基本上他不能够在短期内重新发动进攻。 |
|||||
| 文章录入:水上刻字 责任编辑:水上刻字 | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
| 最新热点 | 最新推荐 | 相关文章 | ||
| 盗版DVD的真实内幕 网站页面浏览数量统计指标真 第一次使用服务器的站长常犯 如何真实有效的提高网站的流 一元域名 又一个忽悠人的真实 虚拟中的真实:认识虚拟主机应 多个Word文档整篇一次性导入 Word中一次性插入多个相同的 快速在Word中一次移动多个对 用Word制作真实试卷模板(上) |
|
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
| 网站公告 | 友情链接 | 版权申明 | 管理登录 | |
|
Copyright © 潜江酷网 |
||
|
Welcome To Www.qjcool.coM EryOne Live It Up! |
