在过去的几周里,我收到了无数次 ddos 攻击。刚才我在运行iptraf的时候抓到了一个。通常,我服务器上使用的 99.9% 的数据包是 TCP 数据包,而不是 UDP。我看到使用了一些,但通常几乎没有。
现在,当攻击发生时,我注意到每秒有数千个传入的 UDP 数据包。tcpdump 也显示了这个:http : //pastebin.com/raw.php?i=QaybC8C1。
我运行 CENTOS 5.6,我只将它用于 nginx (80,443)、ssh (22)、ftp (21)。我不运行名称服务器、电子邮件或类似的东西。
我的问题是。我可以通过 iptables 阻止所有传入的 UDP 流量吗?这对 UDP ddos 攻击有效吗?如果我可以阻止所有 UDP 流量,这会在 linux 中导致任何问题吗?
根据您捕获的图像,它看起来像 DOS 而不是 DDOS,因为原始 IP 地址是相同的。看起来他们正在尝试连接到 UDP 端口 17(QOTD - http://en.wikipedia.org/wiki/QOTD),如果我正确读取捕获,我可能不会,因为我从来没有使用tcpdump。开始时只阻止那个 ip 地址或那个端口怎么样?
我可以通过 iptables 阻止所有传入的 UDP 流量吗?
当然 - 但它可能不会对你有任何好处。
这对 UDP ddos 攻击有效吗?
取决于 DDoS 攻击的内容。从你的其他问题来看,很明显带宽是你关心的问题;因此,一旦请求已经到达您的服务器就丢弃它对您没有好处;特别是因为您当前的配置可能已经立即丢弃了数据包。
如果我可以阻止所有 UDP 流量,这会在 linux 中导致任何问题吗?
是的。UDP 是一种无状态协议;例如,阻止所有流量将阻止对您的服务器发出的 DNS 请求的入站回复。
我仍然不相信这是一个 DoS(而且它显然不是 DDoS,正如@joeqwerty 指出的那样);它们肯定会耗尽您的入站带宽,但这可能不是故意或恶意的。
流量来源似乎是合法的数据中心;64.37.60.212 就是这些家伙(我假设这些 PTR 记录是合法的,在这里 - 确认源 IP 与 PTR 记录匹配),并且他们对发布的滥用流量有非常明确的政策;如果不出意外,您可以联系他们的滥用地址。
更重要的是,“攻击”流量看起来是恰好 8192 字节的碎片化 UDP 数据包——这让我觉得是某种文件传输。既然你正在运行一个Web服务器,一个远更有效(和更常见)DDoS攻击的策略是使用上的开放端口的TCP连接,耗尽系统资源,而无需为他们耗费在本地使用尽可能多的上行带宽你下游。
你能看看他们将数据发送到哪个端口吗?这可能真的对这个问题有所了解。
编辑:我猜 NFS - 端口 2049。
| 归档时间: |
|
| 查看次数: |
15516 次 |
| 最近记录: |