我有一台 Debian 服务器(内核:2.6.32-5-amd64)。
我通常在它上面运行一个码头服务器,但最近,它开始获得大量连接。它不应该得到所有这些流量,因为它是一个非常未知的服务器。
跑步:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
输出数百个IP。我尝试将它们全部添加到 iptables 下拉列表中,但新 IP 不断出现。
然后我继续并停止了 Jetty,所有连接都消失了。为了确保这不是 Jetty 中的错误/安全漏洞,我启动了 apache2,所有连接都立即启动。
看起来人们将它用作代理服务器,使用urlsnarf它向论坛、广告网站显示大量传出请求,您可以命名它。它执行了如此多的请求,以至于 CPU 上下跳动,最终服务器崩溃。
有谁知道他们如何做到这一点?似乎任何服务器在端口 80 上列出,这立即开始。
这是 DDOS 攻击吗?人们如何使用我的服务器作为代理,仅在端口 80 上列出软件?
我已经安装了 hostsdeny 并放气(http://deflate.medialayer.com/),但问题仍然存在。