这是一个关于 DoS 和 DDoS 缓解的规范问题。
我在今天托管的网站上发现了大量流量高峰;我每秒获得数千个连接,我发现我正在使用所有 100Mbps 的可用带宽。没有人可以访问我的网站,因为所有请求都超时了,我什至无法登录服务器,因为 SSH 也超时了!这种情况以前发生过几次,每次都持续几个小时,然后自行消失。
有时,我的网站有另一个明显但相关的问题:我的服务器的平均负载(通常约为 0.25)飙升至 20 或更多,并且没有人可以像其他情况一样访问我的网站。它也会在几个小时后消失。
重新启动我的服务器没有帮助;我该怎么做才能让我的网站再次访问,发生了什么?
相关地,我发现在一两天内,每次我启动我的服务时,它都会从特定的 IP 地址获得连接,然后崩溃。当我再次启动它时,这种情况再次发生并且再次崩溃。这有什么相似之处,我该怎么办?
上周,我的网络遭到 DDoS 攻击,使我们 100 MBps 的互联网链接完全饱和,几乎关闭了我们托管的所有站点和服务。
我明白(从这次经历以及其他答案中)我无法处理这样的 DDoS 攻击,因为即使我们丢弃了数据包,它们仍然通过我们的链接发送并且使我们的连接饱和。
然而,当这种情况发生时,我的 ISP(奇怪的是)无法告诉我攻击来自哪里。他们说如果我能确定来源(EG通过tcpdump),我可以给他们IP地址来阻止。但是事情tcpdump实在是太重了,跑起来是不可能的。我只是无法查看输出。
我们几乎所有的服务器都在 pfSense 路由器后面。如何使用 pfSense 检测 DDoS 攻击,以便告诉我的 ISP 阻止谁?我不想自己阻止攻击,我只想获得警报/能够查看使用比正常情况更多带宽的 IP 地址列表。
pfSense 路由器正在运行 Snort,如果它可以以任何方式提供帮助。