我收到了来自葡萄牙和巴西的大量流量,而不是我的一台服务器上的普通观众,并且在 1 分钟的 TCP 转储上运行 Wireshark 后,几乎每个请求(1 分钟内总共接近 10 megs,以及 5 gigs 的流量)在过去的 12 小时内)来自葡萄牙和巴西(尽管有一堆不同的 IP)。
我不想更新 10 个不同的 htaccess 文件。是否可以在接口级别阻止它。
Ubuntu 服务器 8.04 LTS
在过去的几周里,我收到了无数次 ddos 攻击。刚才我在运行iptraf的时候抓到了一个。通常,我服务器上使用的 99.9% 的数据包是 TCP 数据包,而不是 UDP。我看到使用了一些,但通常几乎没有。
现在,当攻击发生时,我注意到每秒有数千个传入的 UDP 数据包。tcpdump 也显示了这个:http : //pastebin.com/raw.php?i=QaybC8C1。
我运行 CENTOS 5.6,我只将它用于 nginx (80,443)、ssh (22)、ftp (21)。我不运行名称服务器、电子邮件或类似的东西。
我的问题是。我可以通过 iptables 阻止所有传入的 UDP 流量吗?这对 UDP ddos 攻击有效吗?如果我可以阻止所有 UDP 流量,这会在 linux 中导致任何问题吗?
有人不断攻击我的服务器,但不幸的是我已经关掉我的操作系统FreeBSD的,正如我先前使用的Debian 5.0莱尼,没有的netstat或者tcpdump我在Debian使用的命令,工作在FreeBSD。
那么我怎样才能检测到攻击者的 IP 地址,以便我可以在防火墙中阻止这个人呢?
我有一些关于 ddos 攻击以及它是如何工作的问题,我真的需要一些好的解释,因为我找不到任何可以帮助我的好的参考。
PPS(每秒数据包数)和 MBPS 之间有什么关系,如果甚至数据包被防火墙丢弃,像 500k/秒这样的大量 pps 是否会导致 ddos?
像 syn/udp flood 这样的 ddos 是否只能通过 iptables 来完全缓解,并且 iptables 可以处理任何类型的 ddos 就其强度和速度而言,也可以安装在被攻击的同一台服务器上的 iptables 处理大量 pps 并在不丢弃它们的情况下任何问题或对性能的影响?
对于同步洪水,大多数人建议使用同步饼干作为缓解同步洪水的完美解决方案,但不幸的是尝试它并没有帮助,为什么?syn cookie 是否有限制或需要在服务器上像文件描述符一样进行调整?
将服务器上的网卡从 100mbit 升级到 1gbps 可以帮助更多地缓解 ddos 攻击还是没有效果?
注意:我的意思是在这种情况下只升级网络接口但网络速度仍然相同
我目前在我的 OpenVZ 服务器(CentOS 6.3 64 位)上遇到了一些攻击,它使公共以太网接口(当前通过私有接口访问 SSH)饱和。
是否可以显示系统上入站连接最多的 IP 地址以找到目标 VM,以便我可以将其添加到路由器上的空路由列表中?
我们有一个网站似乎遭受了拒绝服务攻击。涉及多个 IP 地址,这些地址都已注册到 Facebook。
以下是 Apache 日志文件的摘录:
173.252.73.119 - - [29/Aug/2013:14:22:14 +0100] "GET /blog/?s=224im089cz+pofmv90+4445u422bmw+5iaa1nxh4j1+ppabi%2Gjewl_biochemist++ HTTP/1.1" 200 179 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
正如您所看到的,请求的 URL 是有效的,但包含一个乱码查询字符串。每秒有数百个这样的请求。
我认为 IP 地址和引荐来源网址都是伪造的。即使上述 URL 已在 Facebook 上发布/共享,它也无法解释来自同一 IP 地址和引用者的所有其他数千个随机请求。
虽然我们可以通过我们的防火墙阻止 IP 地址,但还有其他 IP 地址正在使用(全部注册到 Facebook),如果他们实际上没有责任,我们不想阻止 Facebook。
这些攻击的来源是否可能来自其他地方,我们如何减轻它们的影响?
所以我们有一个负载平衡器和所有的爵士乐设置与 Rackspace。但是,您猜怎么着,我们客户的网站今天再次关闭。
似乎 Rackspace 应该将他们的负载平衡器架构与其他东西分开,但我相信他们有自己的理由。
令人惊讶的是,他们的 SLA 并未涵盖 DDOS。
我知道您无能为力来防止 DDOS,但这些攻击并不适合我们。我们如何避免陷入 DDOS?
今天,我发现 ssh 服务器上的身份验证尝试很少失败,因此我决定检查所有日志中是否有可疑活动。这是我的路由器防火墙日志(其中的一小部分):
Dec 12 21:24:12 kernel: DROP IN=eth0 OUT= MAC=10:7b:44:58:cc:b0:00:1d:70:81:e9:00:08:00 SRC=118.179.50.73 DST=<MyExternalIP> LEN=52 TOS=0x00 PREC=0x20 TTL=107 ID=16939 DF PROTO=TCP SPT=28279 DPT=54281 SEQ=1104099122 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B40103030801010402)
Dec 12 21:24:12 kernel: DROP IN=eth0 OUT= MAC=10:7b:44:58:cc:b0:00:1d:70:81:e9:00:08:00 SRC=109.173.108.248 DST=<MyExternalIP> LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=4775 DF PROTO=TCP SPT=53946 DPT=54281 SEQ=1573294371 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B40103030801010402)
Dec 12 21:24:12 kernel: DROP IN=eth0 OUT= MAC=10:7b:44:58:cc:b0:00:1d:70:81:e9:00:08:00 SRC=118.179.50.73 DST=<MyExternalIP> LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=16940 PROTO=UDP SPT=28273 DPT=54281 LEN=28
Dec 12 21:24:12 kernel: …好吧,我知道这听起来可能很愚蠢或愚蠢,但我想知道(如果有人知道的话)将 DDoS 流量重新路由到 fbi.gov 是否违法...
我只是认为如果您想调查 DDoS 流量,这可能是个好主意,我想不出比这更好的方法。
通过重新路由,我的意思是设置 PF 以重新路由被发现是 DDoS 的流量,然后将其转发到 fbi.gov
请让我知道你的想法,我是认真的...
谢谢!
我以前有点问过这个。我已经建立了一个服务器来为我的网站、dns 和一些游戏服务器提供服务。但是,当我检查我的路由器防火墙日志时,我在同一端口上阻止了很多传入的 UDP 数据包。这是它的样子,请注意端口不正常,并且没有打开或使用。
[INFO] Sat Aug 25 21:25:09 2012 Blocked incoming UDP packet from 176.212.55.166:49001 to 84.234.160.79:61767
[INFO] Sat Aug 25 21:25:05 2012 Blocked incoming UDP packet from 186.227.20.17:21401 to 84.234.160.79:14953
[INFO] Sat Aug 25 21:25:05 2012 Blocked incoming UDP packet from 117.203.8.239:14090 to 84.234.160.79:14953
[INFO] Sat Aug 25 21:25:03 2012 Blocked incoming UDP packet from 77.35.1.215:49001 to 84.234.160.79:14953
[INFO] Sat Aug 25 21:24:53 2012 Blocked incoming UDP packet from 90.180.165.121:10011 to 84.234.160.79:61767
[INFO] Sat Aug 25 21:24:51 2012 …