服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 服务器目前在DDOS下,不知道该怎么做
Intereting Posts
自动创buildWindows启动脚本? 在Linux中禁用交换的最佳方法 sedreplaceshell文件里面 psql要求input密码,尽pipe从本地主机configuration信任authentication 寻找时间与读取速度(硬盘) 可以ping但不能从Linux跟踪路由。 可以从Windows执行这两个操作。 是什么赋予了? 如何使用logrotate压缩和清理日志,但不能旋转它们 如何确保exception终止后重启EC2实例? 完全重置mysql服务器身份validation Cisco IOS:访问列表logging速率限制或未命中的数据包 发件人地址的域不能parsing(回复MAIL FROM命令) 通过远程根服务器直接下载到家庭系统 如何监视Windows Server上的物理磁盘实例writeload? 只有_Total正在工作 EC2内核的决定和与我的AMI创build一台新机器的问题 当“免费”交换空间几乎用完时,在Ubuntu Web服务器上是什么意思?

服务器目前在DDOS下,不知道该怎么做

我的Web服务器目前正在进行DDOS攻击,我相信,这些消息日志中充满了这些消息: 

May 13 15:51:19 kernel: nf_conntrack: table full, dropping packet. May 13 15:51:19 last message repeated 9 times May 13 15:51:24 kernel: __ratelimit: 78 callbacks suppressed May 13 15:51:24 kernel: nf_conntrack: table full, dropping packet. May 13 15:52:06 kernel: possible SYN flooding on port 80. Sending cookies.

和一个netstat有以下巨大的数量: 

 tcp 0 0 my.host.com:http bb176da0.virtua.com.br:4998 SYN_RECV tcp 0 0 my.host.com:http 187.0.43.109:2694 SYN_RECV tcp 0 0 my.host.com:http 109.229.4.145:1722 SYN_RECV tcp 0 0 my.host.com:http 189-84-163-244.sodobr:63267 SYN_RECV tcp 0 0 my.host.com:http bd66839d.virtua.com.br:3469 SYN_RECV tcp 0 0 my.host.com:http 69.101.56.190.dsl.int:52552 SYN_RECV tcp 0 0 my.host.com:http pc-62-230-47-190.cm.vt:2262 SYN_RECV tcp 0 0 my.host.com:http 189-84-163-244.sodobr:63418 SYN_RECV tcp 0 0 my.host.com:http pc-62-230-47-190.cm.vt:1741 SYN_RECV tcp 0 0 my.host.com:http zaq3d739320.zaq.ne.jp:2141 SYN_RECV tcp 0 0 my.host.com:http netacc-gpn-4-80-73.po:52676 SYN_RECV

tcpdump显示: 

 7:11:08.564510 IP 187-4-1xx-4.xxx.ipd.brasiltelecom.net.br.54821 > my.host.com.http: S 999692166:999692166(0) win 65535 <mss 1452,nop,nop,sackOK> 17:11:08.566347 IP 114-44-171-67.dynamic.hinet.net.1129 > my.host.com.http: S 605369055:605369055(0) win 65535 <mss 1440,nop,nop,sackOK> 17:11:08.570210 IP 200-101-13-130.pvoce300.ipd.brasiltelecom.net.br.5590 > my.host.com.http: S 2813379182:2813379182(0) win 16384 <mss 1460,nop,nop,sackOK> 17:11:08.571290 IP dsl-189-143-30-99-dyn.prod-infinitum.com.mx.1615 > my.host.com.http: S 281542700:281542700(0) win 65535 <mss 1452,nop,nop,sackOK> 17:11:08.583847 IP dsl-189-143-30-99-dyn.prod-infinitum.com.mx.1617 > my.host.com.http: S 499413892:499413892(0) win 65535 <mss 1452,nop,nop,sackOK> 17:11:08.588680 IP 170.51.229.112.2569 > my.host.com.http: S 2195084898:2195084898(0) win 65535 <mss 1460,nop,nop,sackOK> 17:11:08.588773 IP gw2-1.211.ru.3180 > my.host.com.http: F 2315901786:2315901786(0) ack 2620913033 win 64240 17:11:08.590656 IP 200-101-13-130.pvoce300.ipd.brasiltelecom.net.br.5614 > my.host.com.http: S 2813715032:2813715032(0) win 16384 <mss 1460,nop,nop,sackOK> 17:11:08.591212 IP 203.82.82.54.15848 > my.host.com.http: S 4070423507:4070423507(0) win 16384 <mss 1400,nop,nop,sackOK> 17:11:08.591254 IP 203.82.82.54.2545 > my.host.com.http: S 1790910784:1790910784(0) win 16384 <mss 1400,nop,nop,sackOK> 17:11:08.591289 IP 203.82.82.54.28306 > my.host.com.http: S 578615626:578615626(0) win 16384 <mss 1400,nop,nop,sackOK> 17:11:08.591591 IP gw2-1.211.ru.3191 > my.host.com.http: F 2316435991:2316435991(0) ack 2634205972 win 64240 17:11:08.591790 IP 200-101-13-130.pvoce300.ipd.brasiltelecom.net.br.5593 > my.host.com.http: S 2813659017:2813659017(0) win 16384 <mss 1460,nop,nop,sackOK> 17:11:08.593691 IP gw2-1.211.ru.3203 > my.host.com.http: F 2316834420:2316834420(0) ack 2629074987 win 64240

我不确定我能做些什么来限制/缓解这个问题,目前没有网页服务,感激不尽的帮助。

我已经设法解决这个问题,这是解决scheme,以帮助任何人: 

 netstat -an | grep :80 | grep SYN_RECV

这将显示所有在这次攻击中的IP,只是在你的防火墙中阻止这个列表,这个攻击没有任何效果(我使用APF,所以对于每个IP只是apf -d)

在阻塞IP之后,你可能需要运行这个命令几次,因为我认为netstat被限制在它显示的IP数量上,在命令没有显示IP之前,我必须运行几次。