我的 VPS 受到 DDoS 攻击。我无法访问 RDP,也无法将其脱机或以任何方式访问它。我能做什么?
他们不是想暴力破解,只是想阻止对 VPS 的访问。我不知道是不是数据中心出了问题,但是 VPS 在线并且在 DDoS 下正常拒绝所有请求。
我或我的专用托管服务提供商可以在日志中查看任何内容吗?事后我应该如何进行取证?
我对DDoS攻击了解不多,一般几天后就会停止?
是否有现有的反 ddos 程序之类的?
我们经营着一家相当大的游戏服务器托管公司,大约有 60 台机器运行 Server 2008,DDoS 攻击我们长期以来一直在处理的问题。不幸的是,由于市场价格,我们或任何其他公司都无法在我们所有的数据中心中安装硬件防火墙。
我们的做法一直是联系数据中心,他们将 IP 地址/端口路由 24 小时。这当然是一种非常不吸引人的处理问题的方式,尤其是对我们的客户而言。
据我了解,软件防火墙只会使 DDoS 攻击问题复杂化。我已经阅读了一些关于强化 TCP/IP 堆栈的内容,但听起来 Server 2008 没有什么可以帮助解决这个问题。
我们可以做些什么吗?
我是 Linux 系统管理的新手,我正在尝试使用 iptables 尝试学习如何用它们真正锁定系统。我的一个朋友推荐的一件事是,有一种方法可以通过 Cloudflare 传递所有传入流量,因此即使攻击者解析了服务器 ip,他们仍然无法 (D) 直接执行此操作。
这正是他们所说的:“只需将您的服务器 iptables 配置为仅允许来自 CloudFlares IP 范围的传入连接,然后将其设置为仅允许您的 IP/IP 范围连接到端口 21 (SSH)”
有人可以帮助我了解我需要为 Ubuntu 运行什么命令才能获得这种效果吗?
我读过一篇关于如何通过修改sysctl.conf. 那篇文章有这样一句话:“可以使用一些选项重新编译内核以提高对 SYN 洪水的防护”。如果我的问题太笼统,我很抱歉,但您能否向我指出它可能指的是哪些内核选项?我下载了内核并查看了所有网络选项,make menuconfig但没有找到或错过了这些选项。谷歌搜索也没有帮助。
谢谢。
我刚刚从我的网站 Internet 提供商处收到一封电子邮件,称我的服务器“在过去几周内作为 DDoS 攻击(DNS 反射)的开放解析器参与其中”。
这是完整的电子邮件:
主题:DNS 放大攻击 尊敬的先生或女士,
我们已收到垃圾邮件/滥用通知。请采取必要的措施,以防止将来再次发生这种情况。
此外,我们会要求您在 24 小时内向我们自己和提交此投诉的人提供一份简短的声明。该声明应包括导致事件发生的事件的详细信息以及您为处理该事件而采取的步骤。
后续步骤: - 解决问题 - 将您的陈述发送给我们 - 通过电子邮件将您的陈述发送给提出投诉的人
然后由一位同事检查详细信息,他将协调进一步的程序。在多次投诉的情况下,这可能会导致服务器被锁定。 - - - 依恋 - - -
亲爱的先生或女士,
我们获悉,在过去几周内,您网络范围内的 IP 地址已被用作 DDoS 攻击(DNS 反射)中的开放解析器。
请参阅此邮件的附件,了解您网络范围内开放 DNS 服务器的 IP 地址。
----- 日志文件 -----
受影响的 IP:176.9.1.67
谢谢,
我能做些什么来确认这一点并确定这次攻击的来源?
谢谢生态
我通过 Wordpress Pingback BOTNET 受到 DDoS,现在我想阻止Wordpress其中包含用户代理的所有客户端。例如:
WordPress/4.0; http://vk.lokos.net; verifying pingback from 107.158.239.82
我需要阻止 HTTP 端口 80 和 HTTPS 端口 443。我该如何执行此操作?
让我们假设一种假设情况,其中port 50000一台机器被 UDP 数据包轰炸。但是,port 50000在所述机器上实际上并未打开(即机器未在侦听port 50000)。
这种对数据包的轰炸会导致 DDoS 攻击吗?
如果是这样,为什么?如果端口关闭,数据包不应该像什么都没发生一样简单地“反弹”机器吗?
目前我的服务器滞后很严重,它崩溃了。这是一个专用服务器,最近两天运行良好。
这个命令有什么作用?
netstat -n|grep :80|cut -c 45-|cut -f 1 -d ':'|sort|uniq -c|sort -nr|more
这就是我得到的:
154 76.217.x.xx
11 79.51.xx.xxx
10 174.119.xx.xx
9 201.230.xxx.xxx
8 24.184.xx.xxx
8 127.0.0.1
6 50.51.xxx.xxx
6 216.121.xxx.xxx
4 80.203.xx.xxx
4 24.186.xxx.xxx
4 223.25.xx.xxx
4 119.93.xx.xx
IP旁边的数字是什么意思?是连接的意思吗?如果是这样......顶级IP正在欺骗我?
我有一台服务器,今天我的服务器负载超过 20,我发现一个命令可以检测到服务器的活动连接以进行 DDOS 检测并拒绝 IP。
netstat -anp | grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
此命令的结果是:
1 109.162.158.160
1 109.162.192.55
1 127.0.0.1
1 206.217.193.220
1 91.99.170.69
2 66.197.219.236
5 213.152.172.169
32 0.0.0.0
583
没有IP的583连接,我该如何解决这个问题?服务器负载超过 20
tnx 为您提供帮助。
我的网络服务器 (nginx) 不断收到这样的请求:
23.244.104.206 - - [15/Jun/2014:21:21:47 -0400] "GET http://ib.adnxs.com/ttj?id=2947236&size=300x250&cb={CACHEBUSTER}&referrer={REFERRER_URL}&pubclick={INSERT_CLICK_TAG} HTTP/1.0" 200 612 "http://www.businessfull.net/?p=8167" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_5; de-de) AppleWebKit/534.15+ (KHTML, like Gecko) Version/5.0.3 Safari/533.19.4"
216.244.65.21 - - [15/Jun/2014:21:21:47 -0400] "GET http://ib.adnxs.com/ttj?id=2583052&referrer=http%3A%2F%2Fwww.excitingflashgames.com%2Fgame%2Frun_chicken_run.html&cb=78488 HTTP/1.0" 200 612 "http://www.excitingflashgames.com/game/run_chicken_run.html" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.2 (KHTML, like Gecko) Ubuntu/11.04 Chromium/15.0.871.0 Chrome/15.0.871.0 Safari/535.2"
有数百个这样的请求,它们导致我的 http 服务器变慢了很多。有什么方法可以使用 iptables 阻止它吗?奇怪的是,他们试图访问我什至没有托管的网站。我认为这对禁止他们很有用,但我不确定我会怎么做。