服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何停止简单的DDOS攻击?
Intereting Posts
Trac通知(smtp)和Postfix 用APC UPS优雅地closuresUbuntu机器 – networking到USB电缆 IIS没有使用正确的中间证书链发送到客户端 当数据库不存在时,分离TFS项目集合 Windows PC随机closures 有关审核VPN连接的build议 Apache重写或代理到内部服务器 在NFS文件系统上设置UID / GID位 什么是Microsoft SQL Server中的sqlexecutive 发件人地址的Sendmail域不能parsing。 无法发送任何电子邮件。 如何阻止IIS 7.5中的空白/空白用户代理 创build一个兼容OpenStack的VM镜像 我可以有TCP时钟达10-20分钟吗? SQL Server完全升级 pipe理Netapp文件pipe理器和vFiler

如何停止简单的DDOS攻击?

有一个黑客对我们生气,并且已经开始对我们进行DDOS攻击。 我认为他是一个脚本小子,使用像DarkComet这样的工具; 攻击可能很简单。

我在我的电脑上托pipe一台服务器。 服务器在我的公共IP上。 我正在使用路由器。 服务器确实有一个端口转发供人们连接。 有一个代理和东西,但我不知道如何设置它

服务器很受欢迎,我不想closures它。

有没有办法让我停止攻击,甚至只是推迟呢?

处理DDoS的最好方法是尽可能远离连接, 你想尽可能地切断这样的攻击。

首先,找出正在使用的IP地址,谁是他们,并与远端的ISP通话。 他们可能无法帮助,如果他们在国外,或蔓延到世界各地,但如果它是一个孤立的地区,你可能是运气。

如果这是一个死胡同,您可以要求您的ISP为一系列IP提供一个黑洞。 大多数消费级别的账户将不会有这个选项,但它并没有伤害要求。 当然,除非通过运行服务器来违反该提供商的TOU(使用条款)。 你会承认以他们不喜欢的方式使用他们的连接。 他们可以决定closures你。

如果你有一个dynamic的IP地址,你可以试着拔掉你的调制解调器/路由器的电池和电源线(ISP连接的那个,而不是你可能有的任何一个),然后让它静坐几分钟。 希望你会用新的IP地址更新,你可以更新你的DNS。 DDoS需要一段时间才能意识到您的移动,尽pipe您的合法客户也会遇到同样的问题。 它会在几分钟/几小时内整理出来,但最后你可能会变得更好。

如果你不能得到ISP的支持或改变你的IP地址,你需要一个防火墙。 如果可以的话,去当地的商店购买一个漂亮的硬件防火墙。 一个具有特定于stream量types/ IP地址/等的丢弃规则。 这将花费你很高,但你可以configuration防火墙,以放弃所有可疑的stream量。 这样做的好处是,大多数连接的上行stream量上限要小于下行stream量上限,因此,通过丢弃数据包,可以节省实际页面访问的上行带宽(访问者),而不是ping,naks,404s等等正在继续。

你可以尝试一个软件防火墙,但它必须是一个好的。 Windows防火墙只是不会在这里削减它。 你需要像Linux一样的东西,在那里你可以configuration丢弃你的IP地址的规则。 您的networking仍然会使用大量的下行带宽,但是您的服务器将能够在您的其他系统发热的同时进行呼吸。

您也可以在您的服务器上设置另一个虚拟服务器,使用单个文件从默认端口80或443redirect(302)到非标准端口,然后在那里设置您的服务。 普通的浏览器将被redirect到新的服务,没有太多的麻烦在下一页加载,而机器人可能会继续锤击在默认端口。 一个简单的HTTPredirect比全面的页面加载花费更less的带宽,所以它可能会减less攻击的影响。 这实际上取决于DDoS攻击脚本的智能程度。 他们可能只是无害地反弹302,这意味着他们将不得不大规模地扩大他们的攻击。

最后,如果一切都失败了,只需closures你的服务器10分钟,看看会发生什么。 DDoS脚本可能会感到厌倦和漫不经心(不太可能,但值得一试)。 如果您在消费级连接上托pipe自己的服务器,顺便说一句,现在是升级的时候了。 消费级软件包不适合托pipe,因为它们的上游(相对)非常小,对DDoS,DNS,邮件服务器和其他常见问题的支持很less甚至没有。

十五个IP地址是一个相对较小的数字。 你可以阻止那些使用防火墙软件或硬件。 如果他使用VPN或代理服务器服务,使其看起来像来自属于比利时实体的地址空间的源IP,并且您不希望有任何合法的stream量来自那里,则可以阻止分配的整个地址范围至less有一段时间。 总有一种风险可能会阻止一些合法的stream量,但这种风险可能超过了让其他合法用户访问服务器的需求。

例如,假设我将218.65.30.38视为一个攻击性IP地址,实际上这是一个地址,我从中看到有人试图通过尝试猜测密码来破解我自己的一台服务器。 我可以先到美国注册互联网号码(ARIN)网站http://arin.net 。 在“searchwhois”字段中,我input了218.65.30.38,这表明地址范围218.0.0.0 – 218.255.255.255由另一个区域互联网注册机构(RIR)分配,在这种情况下,RIR是亚太地区networking信息中心(APNIC) ,为该地区分配IP地址块的组织。 那么我可以到http://www.apnic.net上的APNIC网站,并在那里的“Whoissearch”字段中input218.65.30.38。 这告诉我,218.64.0.0 – 218.65.127.255块被分配给中国电信。 如果我不指望中国的服务器有任何合法的stream量,我可以阻止整个地址范围218.64.0.0 – 218.65.127.255,所以如果攻击者来自218.65.127.58,而不是218.65.30.38,他仍然是受阻。 根据他使用的VPN服务提供商或代理服务器服务,该技术可能不适用于您,但如果您知道所有合法stream量来自加拿大,则您可以考虑这一点。 即使这样,如果攻击者可以切换到由另一个国家的提供商运营的VPN或代理服务器,并且意识到这种攻击可能会变得像一个鼹鼠游戏一段时间取决于代理/ VPN服务提供商可能具有的全球networking如果他们在一个特定的国家使用服务器,很快就会被阻止,但如果他们是脚本小子,他们可能不会意识到这一点。

另外,如果你正在操作一个网站,但是DDOSstream量是一些其他types的stream量,也就是说,不是到端口80或443的HTTP / HTTPSstream量,那么你可能能够在你的服务器之前阻止你的stream量pipe理,如果显然没有合法的需要任何外部系统与端口上的服务器通信或使用攻击者正在使用的协议。

我也build议查找哪些组织/公司已经分配了IP地址被攻击者使用; 你可以使用我上面提到的技术,或者只是去一个提供whois服务的网站。 例如,您可以使用Whois查询 。 您可能在那里find的联系信息不会识别VPN或代理服务器服务提供商,因为由RIR分配地址空间的组织可能已经将更小的地址空间块分配给其他人,如提供公司VPN或代理服务器服务,但是您可以尝试联系组织并将问题通知给他们。 如果您能够识别代理服务器/ VPN提供商,并且可以从他们的网站上find联系信息,则合法提供商应该对使用他们的服务进行此类攻击的任何客户不屑一顾。 许多人将在其服务条款中声明,使用他们的服务进行这种恶意活动违反了他们的服务条款,要求犯罪人立即终止他的账户,并损失他已经花费的任何资金。

如果他使用DarkComet RAT来控制属于个人用户的电脑,通过whoissearch查找IP地址应该可以让ISP 知道 。 联系ISP可能会导致ISP阻止来自受感染系统的所有networking访问,并希望导致用户学习其他人可以远程控制他或她的系统并采取措施使系统消毒。