标签: ddos

这是一个关于 DoS 和 DDoS 缓解的规范问题。

我在今天托管的网站上发现了大量流量高峰；我每秒获得数千个连接，我发现我正在使用所有 100Mbps 的可用带宽。没有人可以访问我的网站，因为所有请求都超时了，我什至无法登录服务器，因为 SSH 也超时了！这种情况以前发生过几次，每次都持续几个小时，然后自行消失。

有时，我的网站有另一个明显但相关的问题：我的服务器的平均负载（通常约为 0.25）飙升至 20 或更多，并且没有人可以像其他情况一样访问我的网站。它也会在几个小时后消失。

重新启动我的服务器没有帮助；我该怎么做才能让我的网站再次访问，发生了什么？

相关地，我发现在一两天内，每次我启动我的服务时，它都会从特定的 IP 地址获得连接，然后崩溃。当我再次启动它时，这种情况再次发生并且再次崩溃。这有什么相似之处，我该怎么办？

我使用的其中一台服务器托管在 Amazon EC2 云上。每隔几个月，我们似乎就会对这台服务器进行一次 DDOS 攻击。这会令人难以置信地减慢服务器的速度。大约 30 分钟后，有时会重新启动，一切都恢复正常。

Amazon 有安全组和防火墙，但我还应该在 EC2 服务器上安装什么来减轻或防止攻击？

从我学到的类似问题中：

• 通过 IP 表（或者可能是 UFW？）限制来自特定 IP 地址的请求率/分钟（或秒）
• 有足够的资源来承受这样的攻击——或者——
• 可能构建 Web 应用程序，使其具有弹性/具有弹性负载平衡器，并且可以快速扩展以满足如此高的需求）
• 如果使用 mySql，请设置 mySql 连接，以便它们按顺序运行，以便慢速查询不会使系统陷入困境

我还缺少什么？我希望了解有关特定工具和配置选项（再次在此处使用 Linux）和/或任何特定于 Amazon EC2 的信息。

ps：关于监视 DDOS 的注释也将受到欢迎 - 也许使用 nagios？;)

我的服务器受到 DDOS 攻击，我想阻止正在执行此操作的 IP，我应该查找哪些日志来确定攻击者的 IP？

几天前我正在阅读有关 DNS 的内容，并了解了请求是如何处理的。如果您浏览 www.example.com，那么请求将转到根名称服务器以查看谁拥有该 .com 地址，然后另一个请求将转到另一个更本地的 DNS 服务器以查看谁拥有 example.com地址等。

从技术上讲，13 个根名称服务器如何能够同时处理地球上数十亿互联网用户所做的所有请求而不会受到 ddos​​:ed 的干扰？

我没有最强大的计算机安全背景，但昨天我公司的一台服务器被我们的主机关闭。

这是一个分配了公共 IP 的服务器，我在其中托管了多个 Web 服务应用程序，包括网站和 API。有人告诉我，我的服务器“正在运行一个开放的 dns 解析器，用于将拒绝服务攻击中继到外部实体。”

这是什么意思？这种攻击是如何工作的？我怎样才能保护我的系统免受这样的滥用？

在我的特定情况下，有问题的服务器在 Windows Server 2012 上，它为 Active Directory 域提供 DNS 服务。

我检查 /var/log/secure 并且我有这些日志：

Jul  9 13:02:56 localhost sshd[30624]: Invalid user admin from 223.196.172.1 port 37566
Jul  9 13:02:57 localhost sshd[30624]: Connection closed by invalid user admin 223.196.172.1    port 37566 [preauth]
Jul  9 13:03:05 localhost sshd[30626]: Invalid user admin from 223.196.174.150 port 61445
Jul  9 13:03:05 localhost sshd[30626]: Connection closed by invalid user admin 223.196.174.150 port 61445 [preauth]
Jul  9 13:03:16 localhost sshd[30628]: Invalid user admin from 223.196.169.37 port 62329
Jul  9 13:03:24 localhost sshd[30628]: Connection closed by invalid user admin …

我们在 Linux 机器上运行面向公众的递归 DNS 服务器。我们已经被用于 DNS 放大攻击。是否有任何建议的iptables规则可以帮助减轻这些攻击？

显而易见的解决方案是将出站 DNS 数据包限制在某个流量级别。但我希望找到更聪明的方法，这样攻击就可以阻止流向受害者 IP 地址的流量。

我已经搜索过建议和建议，但它们似乎都是“不要运行面向公众的递归名称服务器”。不幸的是，我们陷入了这样一种情况：如果我们不这样做，不容易改变的事情就会崩溃，这是由于十多年前在这些攻击成为问题之前做出的决定。

我们正在处理共同定位服务器上的NTP 反射/放大攻击。这个问题是专门针对 NTP 反射攻击的，一般不针对 DDoS。

这是交通：

它在我们的路由器上搅动了一些 CPU：

不幸的是，它不足以导致我们的上游提供商对流量进行黑洞处理，这意味着它正在传递给我们。

我们使用以下规则来阻止源自端口 123 的 NTP 流量：

-p udp --sport 123 -j DROP

这是IPTables 中的第一条规则。

我搜索了很多，但找不到关于如何使用 IPTables 减轻 NTP 反射攻击的太多信息。那里的一些信息似乎完全不正确。这个 IPTables 规则是否正确？除了联系我们的上游网络提供商之外，我们还有什么可以添加或做的事情来减轻 NTP 反射/放大攻击吗？

另外：由于这些攻击者必须使用的网络

• 允许在数据包中欺骗 IP 地址
• 未打补丁，大约 2010 年的 NTP 代码

是否有任何全球票据交换所可以向我们报告这些 IP 地址，以便修复它们以停止允许欺骗数据包并修补其 NTP 服务器？

我有一个可公开访问的名称服务器，因为它是几个域的权威名称服务器。

目前，服务器充斥着ANY对 isc.org、ripe.net 和类似（这是一种已知的分布式 DoS 攻击）的伪造类型请求。

服务器运行 BIND 并allow-recursion设置为我的 LAN，以便拒绝这些请求。在这种情况下，服务器仅使用引用根服务器的authority和additional部分进行响应。

我可以配置 BIND 使其完全忽略这些请求，而根本不发送响应吗？

因此，我们的 DNS 提供商时常会在他们的系统上遭受 DDOS 攻击，导致我们的前端网站出现故障。

在减少对单一外部托管 DNS 提供商的依赖方面有哪些选择？我的第一个想法是使用较低的过期 TTL 和其他 SOA TTL，但感觉这些对辅助 DNS 服务器行为的影响比其他任何事情都大。

即，如果您遇到持续时间超过 1 小时的 DNS 中断（在本例中是由于 DDOS），请将所有内容委托给二级提供商。

当涉及到他们的外部 DNS 并使用另一个托管 DNS 提供商作为备份时，人们在那里做什么？

请注意我们友好的版主：这个问题比那里的“通用缓解 DDOS 攻击”问题要具体得多。

编辑：2016-05-18（几天后）：所以，首先感谢 AndrewB 的出色回答。我还有一些信息要在这里添加：

因此，我们联系了另一家 DNS 服务提供商并与他们进行了交谈。经过思考和更多研究后，实际上比我想象的与两个 DNS 提供商合作要复杂得多。这不是一个新答案，它实际上是问题的更多内容/信息！以下是我的理解：

-- 许多这些 DNS 提供商提供专有功能，如“智能 DNS”，例如 DNS 负载平衡与 keepalive、用于配置响应返回方式的逻辑链（基于地理位置、记录的各种权重等） . 因此，第一个挑战是使两个托管提供程序保持同步。并且这两个托管提供程序将必须由必须自动与其 API 交互的客户保持同步。不是火箭科学，而是持续的运营成本，可能会很痛苦（考虑到双方在功能和 API 方面的变化）。

- 但这是我的问题的补充。假设有人确实根据 AndrewB 的回应使用了两个托管提供程序。根据规范，这里没有“主要”和“次要”DNS，我是否正确？即，您向域注册商注册了四个 DNS 服务器 IP，其中两个是您的 DNS 提供商之一，其中两个是另一个的 DNS 服务器。所以你基本上只是向全世界展示你的四张 NS 记录，所有这些都是“主要的”。那么，我的问题的答案是“否”吗？