我的一台服务器有问题。谷歌打开了很多到 apache 服务器的 http 连接,并且基本上执行了慢速病毒攻击。
此 netstat 调用导致以下输出
netstat -plant|grep :80|awk '{print $5}'|cut -d: -f1|sort|uniq -c|sort -n
11 209.85.227.93
14 209.85.227.190
30 209.85.229.118
494 209.85.229.141
所有这些IP都属于谷歌网络。我已经禁止谷歌使用 robots.txt 访问保存在服务器上的任何内容,但它对疯狂的连接数量没有影响。我该怎么办?
66.65.71.240 - - [05/Aug/2011:21:56:09 -0700] "GET /api/account_verify?accesstoken=k198nrtc7flswo6qhimuv5pd0 HTTP/1.1" 500 2334 "-" "Geolo 1.0 rv:18 (iPhone; iPhone OS 4.3; en_US)" "at:-" "dt:-" secure
220.128.111.225 - - [05/Aug/2011:21:56:11 -0700] "GET /api/account_verify?accesstoken=dv8asg0lwh2m1iu95bo3y6cjt HTTP/1.1" 500 2334 "-" "Geolo 1.0 rv:18 (iPhone; iPhone OS 4.3.3; en_SG)" "at:-" "dt:-" secure
124.171.7.154 - - [05/Aug/2011:21:56:13 -0700] "GET /api/account_verify?accesstoken=apu4q0sxtejni76z58ykwdrgl HTTP/1.1" 500 2334 "-" "Geolo 1.0 rv:18 (iPhone; iPhone OS 4.3.4; en_AU)" "at:-" "dt:-" secure
216.220.110.238 - - [05/Aug/2011:21:56:13 -0700] "GET /api/account_verify?accesstoken=9m6aqr4h2x0sp7fblw1ycveo5 HTTP/1.1" 500 2334 "-" "Geolo 1.0 rv:18 …我怀疑我的一台服务器前段时间受到了攻击。我的问题是如何在受到攻击时或攻击完成后识别 DOS 或 DDOS 攻击?
我有人在关闭的随机端口上用随机数据包淹没我。
我的服务器正在使用 tcp-reset 数据包对此做出响应,我认为这也会占用出站带宽。
如何使用 iptables 来阻止 tcp-reset 数据包?
我在别处问过,得到了这样的回答:
使用 DROP 会将任何类型的 DDoS 攻击变成 SYN 洪水,因为您的服务器期望它永远不会得到 ACK 响应。即使您可以微调您的 tcp 超时选项,一些设置也被硬编码到内核中。REJECT 速度非常快,占用的带宽很小。有关更多信息,请谷歌“丢弃与拒绝”。
我研究了他说的话,他似乎是正确的,但我只是想确定一下。
我正在 Centos 上运行一个 2 GB 内存的站点。使用灯
每天有几个小时(大约 3 到 4 小时)apache 宕机。加载页面花费的时间太长,并且大部分时间显示请求超时。但是其他端口也可以,例如 ftp 和 7778,因为我使用的是 kloxo。
我不是服务器专家,但我用谷歌搜索并做了一些研究,我认为这是一种 ddos Syn 攻击。
我曾经netstat -n | grep :80 | grep SYN |wc -l研究过同步连接
在攻击期间,它显示的数字超过 3000。但是当我的网站恢复正常时,它显示的数字约为 100。
所以请帮助我。并告诉我如何阻止这真的让我很生气。
在过去的几个小时内,我收到了来自单个域的 47 000 次点击。我研究了 FunWebProducts 但它似乎是某种插件,不知道这怎么可能?
89.70.25.120 - - [03/Sep/2012:07:19:12 +0200] "POST /user/login HTTP/1.0" 200 18127 "http://xxxyyyzzzsitename.com/user/login" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FunWebProducts; MRA 4.6 (build 01425); .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
89.70.25.120 - - [03/Sep/2012:07:19:13 +0200] "POST /user/login HTTP/1.0" 200 18127 "http://xxxyyyzzzsitename.com/user/login" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FunWebProducts; MRA 4.6 (build 01425); .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
89.70.25.120 - - [03/Sep/2012:07:19:14 +0200] "POST /user/login HTTP/1.0" 200 18127 "http://xxxyyyzzzsitename.com/user/login" "Mozilla/4.0 (compatible; MSIE …我的服务器被长度为 4 的 UDP 数据包淹没(标头为 32 字节)。
04:56:26.844797 IP 108.241.236.114.47034 > 185.5.173.249.14522: UDP, length 4
04:56:26.844831 IP 5.2.81.91.41240 > 185.5.173.249.14522: UDP, length 4
04:56:26.844866 IP 210.87.250.55.40919 > 185.5.173.249.14522: UDP, length 4
04:56:26.844900 IP 94.73.142.23.55904 > 185.5.173.249.14522: UDP, length 4
04:56:26.844940 IP 122.146.80.27.53779 > 185.5.173.249.14522: UDP, length 4
04:56:26.844970 IP 151.164.8.177.57392 > 185.5.173.249.14522: UDP, length 4
04:56:26.845003 IP 107.199.209.29.58712 > 185.5.173.249.14522: UDP, length 4
04:56:26.845042 IP 109.69.210.61.55743 > 185.5.173.249.14522: UDP, length 4
04:56:26.845075 IP 174.142.83.201.57903 > 185.5.173.249.14522: UDP, length 4
04:56:26.845112 …我有一个 linux apache 服务器,它在几天前运行良好。发生的事情是从访问日志中有这样的行,并且日志文件每秒增长很多行。最初我怀疑服务器被dos攻击并停止了服务器。但是几天后,每当我启动服务器时,都会发生类似的日志。我想知道是否有人知道发生了什么?它是由病毒引起的吗?
23.19.76.217 - - [17/Oct/2012:10:21:47 -0400] "GET http://ad.globe7.com/st?ad_type=iframe&ad_size=728x90§ion=3633732&pub_url=${PUB_URL} HTTP/1.0" 200 4497
142.54.177.114 - - [17/Oct/2012:10:21:47 -0400] "GET http://ad.globe7.com/imp?Z=300x250&s=3582878&T=3&_salt=3106601030&B=12&m=2&u=http%3A%2F%2Fwww.homesearchcar.com%2F%3Fp%3D184&r=1 HTTP/1.0" 302 -
我已经在我的服务器(centos6.5 64bit)上安装了 ddos deflate 并且在服务器邮箱中我看到 ddos deflate 已被列入黑名单空 Ip。
当我在 ssh 上运行此命令时,我看到:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
...
3 2.186.85.154
3 5.134.135.148
3 5.239.236.176
3 5.250.23.249
3 78.39.67.226
3 95.80.153.13
4 87.248.150.152
9 199.201.121.153
22 95.80.176.162
762 127.0.0.1
4649
您会看到有 4649 个来自空 IP 的连接。这个问题的原因是什么,我该如何解决?