标签: ddos

抱歉，我不知道从哪里打开这个主题。

这不是我们第一次面临来自 RedStation.com 中的一台服务器的大规模 DDOS 攻击，即使在我们与他们的滥用部门联系并使用它的日志之后，也没有合作，他们甚至不想打扰自己它。我们不知道如何阻止此类活动。

你知道如何投诉这个数据中心吗？我们不能再有耐心，看到他们不在乎他们网络上的这些事情？似乎他们现在是攻击者的天堂，因为他们闭上眼睛以获得更多的钱。

我猜在这件事上缺少一些全球组织来调查此类活动并确保提供商对他们的服务负责。

这是它的一些日志：

2686M 75G DROP all -- * * 31.3-RedStation 0.0.0.0/0
rt: 16167
0.002007 31.3-RedStation -> my-server-ip UDP Source port: 36391 Destination port: 16167
0.002011 31.3-RedStation -> my-server-ip UDP Source port: 38367 Destination port: 16312
0.002014 31.3-RedStation -> my-server-ip UDP Source port: 39585 Destination port: 12081
0.002018 31.3-RedStation -> my-server-ip UDP Source port: 39585 Destination port: 12081
0.002021 31.3-RedStation -> my-server-ip UDP Source port: 38367 Destination port: 16312
0.002025 31.3-RedStation -> my-server-ip UDP …

我的服务器在 100% 的 CPU 上运行，查看 Apache 日志时我看到了数十万个连接，如下所示：

10.190.45.31 - - [13/Mar/2014:15:29:02 +0000] "GET SOMETHING HTTP/1.1" 200 2261 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7 (via ggpht.com GoogleImageProxy)"

IP 是我的负载均衡器的 IP，不幸的是我没有设置日志记录，所以我无法确定这个请求的真正来源。

有谁知道这是一种什么样的交通？

我打开了 dns 查询日志，当运行“tail -f /var/log/syslog”时，我看到我从一个 IP 地址收到数百个相同的请求：

Apr  7 12:36:13 server17 named[26294]: client 121.12.173.191#10856: query: mydomain.de IN ANY +
Apr  7 12:36:13 server17 named[26294]: client 121.12.173.191#44334: query: mydomain.de IN ANY +
Apr  7 12:36:13 server17 named[26294]: client 121.12.173.191#15268: query: mydomain.de IN ANY +
Apr  7 12:36:13 server17 named[26294]: client 121.12.173.191#59597: query: mydomain.de IN ANY +

频率约为每秒 5 - 10 个请求，持续约一分钟。之后，从不同的 IP 地址重复相同的效果。我现在已经在短短几个小时内记录了来自大约 25 个 IP 地址的大约 10000 个请求，根据“whois [ipaddr]”，所有请求都来自中国。

这里发生了什么？我的名称服务器是否受到攻击？我可以做些什么吗？

最近我收到了很多小规模的 DoS 攻击。我想知道我应该使用哪些 iptables 规则来应对最常见的 DoS 攻击，并通常保护我的 Web 服务器。

Web 服务器运行 Varnish -> nginx/php5 -> memcached -> mysql

我尝试了一些通用的收据，但它们也阻止了对我位于远程服务器上的数据库服务器的访问，所以我只是刷新了建议的规则，现在当我在 iptables 上只看到 fail2ban 时，感觉有点徒劳和勇敢。

因此，感谢您阻止最常见攻击媒介的规则。

我最近发现我的服务器被用作 DNS DDOS 的一部分。基本上，我的 BIND 设置允许递归，它被用来使用 IP 欺骗攻击某个 IP 地址。

我采取了必要的措施来阻止这种情况，并禁用递归。我不再是放大器，我想这解决了大问题，但我仍然收到大量查询，BIND 对所有查询都回复“拒绝”。

我只是想知道是否还有什么我可以做的。我想我可能会配置 fail2ban 来阻止它们，做一些类似于Debian 建议的事情，但根据其他网站和合理的逻辑，这并不理想，因为攻击者可以轻松地让我阻止任何 IP 访问我的服务器。

那么还有什么办法呢？或者我应该等待攻击者放弃？或者希望他们重新扫描并将我从放大器中除名？

我们的服务器宕机了，我们重新启动了服务（nginx & httpd），当我查看日志时，我发现这些行，有这么多Graceful restart requested, doing restart行，怎么了？我有 100 行如下

[Tue Nov 10 03:35:12.421652 2015] [mpm_prefork:notice] [pid 60224] AH00163: Apache/2.4.6 (CentOS) PHP/5.6.7 mod_apreq2-20090110/2.8.0 mod_perl/2.0.9dev Perl/v5.16.3 configured -- resuming normal operations
[Tue Nov 10 03:35:12.421669 2015] [core:notice] [pid 60224] AH00094: Command line: '/usr/sbin/httpd -D FOREGROUND'
JPEG datastream contains no image
JPEG datastream contains no image
JPEG datastream contains no image
Empty input file
[Wed Nov 11 03:37:09.103375 2015] [mpm_prefork:notice] [pid 60224] AH00171: Graceful restart requested, doing restart
[Wed Nov 11 …

我使用 Heroku 作为我的托管解决方案。那么，如果某个坏人使用 DDoS 攻击我的网站，我该怎么办？

有人可以为我提供规则来检测以下攻击：

hping3 -S -p 80 --flood --rand-source [target]

由于数据包来自随机来源，因此我遇到了规则问题。

我目前的规则是：

alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)

此规则只能从一个源 ip 中检测到。

首先，我知道最好在数据中心级别进行 DDoS 保护。但是我们的 DC 还没有准备好提供高质量的保护。所以我们考虑使用一些外部 DDoS 保护服务。

我用谷歌搜索了几个，比如（抱歉不能发布很多链接）：

• http://blockdos.net/
• http://www.armoraid.com/
• http://www.blacklotus.net/
• http://ddosprotection.com/
• http://www.level3.com/index.cfm?pageID=555

总体思路是，您将 DNS 更改为指向 DDoS 保护服务。他们为您过滤流量，然后将其重定向到您的后端。因此，它增加了一些小的时间开销，但即使在 DDoS 下也能让您的站点保持活跃。

但是在网站上写东西真的很容易。我的问题是：有人有这种服务的经验吗？它真的有助于抵御 DDoS 吗？

最近我读到了亚马逊和贝宝上的拒绝服务攻击。我很好奇这是如何执行的。这些大公司必须拥有庞大的服务器，因此 DOS 需要数十亿个机器人才能访问它。

所以我的问题是

1. 这个级别的 DDOS 攻击表现如何？
2. 如何事先知道这是攻击正在发生？
3. 如何防止这种情况（除了常见的验证码方式之外，如何区分机器人与用户）