标签: ddos

今天，我一直在处理遭受类似 SYN 洪水攻击的服务器。让网站重新上线有点着急，所以我们做了这三个步骤来使服务恢复到可用状态。攻击期间服务器负载很低，所以它没有关闭服务器，只是让 HTTP 访问者超时。

现在我不相信这些解决了问题，但在洪水消退之前，它们确实解决了症状。

• 设置sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=5

• 将 Apache prefork ServerLimit和MaxClient增加到 512（从 256）。

• 将 Apache ListenBackLog设置为 1024

我看到网络上其他地方正在讨论各种 iptables --limit选项，但是我们得出结论，这些选项会限制合法流量，因为请求的网页的每个项目（每个图像等）都将计入此限制，从而阻止页面完全加载.

人们在这些情况下会做什么，我们的行动是否明智，因为负载不是问题？

我想知道是否可以使用简单的 IP 表规则来防止小型 (D)DoS 攻击？

小我的意思是他们用来自一两个 IP 地址的大约 400 多个请求淹没了我的 Web 服务器。在我注意到 IP 地址开始攻击我的 Web 服务器后，我可以删除它们，但 IP 表通常需要几分钟才能针对该 IP 启动，然后开始完全删除它，以免影响该 Web 服务器.

我使用以下命令删除 IP：

iptables -I INPUT -s "IP HERE" -j DROP

然后显然保存它：

/etc/init.d/iptables save

我通常使用以下命令找出攻击 IP 地址：

netstat -plan|grep :80|awk '{print $5}'|cut -d: -f 1|sort|uniq -c|sort -n

这样做的问题是我必须在那里，并且需要我事后采取行动。是否有 IP 表规则可用于在达到 150 个连接后立即删除 IP 地址？这样我就不必担心它会压倒 Web 服务器，而且我也不必在那里阻止它。

顺便说一句，如果重要的话，我在 CentOS 上使用 Apache。

感谢您的时间。

上周，我的网络遭到 DDoS 攻击，使我们 100 MBps 的互联网链接完全饱和，几乎关闭了我们托管的所有站点和服务。

我明白（从这次经历以及其他答案中）我无法处理这样的 DDoS 攻击，因为即使我们丢弃了数据包，它们仍然通过我们的链接发送并且使我们的连接饱和。

然而，当这种情况发生时，我的 ISP（奇怪的是）无法告诉我攻击来自哪里。他们说如果我能确定来源（EG通过tcpdump），我可以给他们IP地址来阻止。但是事情tcpdump实在是太重了，跑起来是不可能的。我只是无法查看输出。

我们几乎所有的服务器都在 pfSense 路由器后面。如何使用 pfSense 检测 DDoS 攻击，以便告诉我的 ISP 阻止谁？我不想自己阻止攻击，我只想获得警报/能够查看使用比正常情况更多带宽的 IP 地址列表。

pfSense 路由器正在运行 Snort，如果它可以以任何方式提供帮助。

所以我收到了对我的一台运行 Debian 6.0 的专用服务器的滥用投诉

果然，有时会无缘无故地top显示/usr/bin/host使用大量 CPU，而 netstat 显示进程host执行了大量 HTTP 请求。

过了一会儿，我的系统日志甚至说nf_conntrack: table full, dropping packet.，我认为这与此事有关。

我已经/usr/bin/host使用 debsums验证了可执行文件，并且似乎也很好。服务器本身也是 100% 更新的。

所以我猜测有什么东西在以某种方式调用我的host可执行文件并强制它为某些 DDoS 执行 HTTP 请求。

我当然可以简单地编写一个脚本来host在发生这种情况时立即将其杀死，但我真的很想知道问题的根源。

我正在检查 Apache 日志中host是否有开始执行请求时有趣的条目，但还没有找到任何内容。

任何人都对其他事情有什么建议？我怎样才能看到谁和什么叫做“主机”？谷歌/usr/bin/host根本没有显示任何被滥用的例子！

我已阅读并理解您能否帮助我进行容量规划？，但我不确定我是否了解 DNS 服务器方案中的下一步。我认为我的 CPU 负载很高，或者我可能开始放弃查询，但我想在对它采取行动之前更好地了解我的服务器的负载。这对我来说尤其重要，因为众所周知，将基础设施扩展到 DDoS 负载正在失败。

为了了解我的环境，我应该分析什么？

过去几周我一直受到 DDOS 攻击。

现在看来我的服务器网络被淹没了，直到它不再有空间来接收和发送正常的包裹。

我运行 CENTOS 5.6，并且我已经强化了 SYSCTL 和 iptables，以尽可能地抵御 SYN 攻击。

我有一个 100Mbit 的网卡并连接到我的托管公司。

正常的传入流量约为 8mbit/s。当攻击发生时，传入的数据峰值高达 100 兆比特。

如果我将服务器升级到 1GBPS 网卡 + 网络连接，它可以帮助我抵御攻击吗？

我希望管道在受到攻击时不会那么快被淹。

我们正在经历大规模 DDOS 攻击，但这不是我们的 Cisco Guard 可以处理的典型僵尸网络，而是 BitTorrent 攻击。这对我来说是新的，所以我不确定如何阻止它。

以下是 IIS 每秒处理来自 BitTorrent 客户端的 40 到 100 个请求的统计数据。我们大约有 20% 的用户代理，但其他 75% 是空白的。

我们希望在服务器级别阻止空白用户代理。

最好的方法是什么？

是否可以使用 DDoS 仅破坏部分网站服务？

例如，仅禁用特定网站的搜索功能。

我是在韩国发生争议之后提出这个问题的，韩国选举监督机构的部分网站在选举期间被关闭。政府声称这是由于 DDoS 攻击造成的，但韩国的许多人并不相信这个故事。

相关新闻：http : //thevotingnews.com/international/asia/korea/election-watchdog%E2%80%99s-website-attacked-by-ddos-korea-herald/

情况：我有一个服务器，我们有 2-3 个项目。前不久开始，服务器开始挂了（我们ssh连接不上，连接的客户端要等20分钟top给结果）

今天早些时候，我设法在gstat处于这种状态时执行它，并看到它在 da0、da0s1 和 da0s1f 上保持100%。我不太清楚这些 id 是什么意思，但我知道有些进程只是通过用请求轰炸它来杀死 HD。

我问一些建议。我不知道如何找到罪魁祸首，也无法阻止这种情况。

我在服务器上有 freebsd。

我正在 Ubuntu Web 服务器上配置 Fail2Ban，以防止它成为 DoS / DDoS 的受害者。我不想使用 Cloudflare，因为我必须路由我的 DNS 并使用他们的 SSL 证书。

HEAD目前，我在网上找到了一个脚本，可以检查每秒是否有超过 1 个 HTTP请求，或者xmlrpc.php每秒是否有超过 1 个请求。我认为这不足以提供足够的保护，因为这些并不是人们可以用来执行 DDoS 攻击的唯一请求类型。

GET我正在考虑限制给定IPPOST在短时间内可以发出的请求数量，但我不确定应该如何设置限制，因为加载大量 Javascript、CSS 或图像的大页面会导致GET短时间内收到大量请求。我应该考虑限制GET/POST请求，还是应该考虑其他事情？为什么？