我做一个IP地址作为源地址的TCP SYN洪水攻击,我测量服务器的响应时间。 然后我做随机IP地址作为源地址(DDOS)的TCP SYN洪水攻击,我也测量服务器的响应时间。 我想两个响应时间应该是相同的,但是我看到,从不同的ips发起攻击的响应时间变得非常高,然后下降(虽然攻击不成功,但是在一段时间内响应时间非常高),但是当发生攻击从一个IP地址的响应时间永远不会变高,这是非常低的。 我真的很惊讶,我不希望这种行为,因为赞成synproxy 的行为,它应该对两个行为相同。 你能告诉我为什么发生这种情况吗? 谢谢
我在snort规则很新,所以我找不到下面的规则。 当tcp数据包来自外部networking和任何端口到家庭networking和端口3389时,这个规则发送警报? 只是检查端口,IP协议? 如果是的话,我认为它不能检测rdp dos攻击,因为当一个普通的rdp连接想要build立这个规则发送警报。 alert tcp $EXTERNAL_NET any -> $HOME_NET 3389 (msg:"OS-WINDOWS Microsoft Windows RemoteDesktop connect-initial pdu remote code execution attempt"; sid:21619; gid:3; rev:5; classtype:attempted-admin; reference:cve,2012-0002; reference:url,technet.microsoft.com/en-us/security/bulletin/ms12-020; metadata: engine shared, soid 3|21619, service rdp, policy balanced-ips drop, policy security-ips drop, policy max-detect-ips drop;)
我的网站是由于简单的请求ips,每秒数万或更多的请求瘫痪。 有没有办法来捍卫这种攻击? 有没有办法追溯到攻击者?
我们正在使用我们的套件研究一个问题,该套件是在Ti-Davinci SoC上运行Busybox Linux的IP摄像机。 在一个特定的网站上,有很多networkingstream量(我们无法控制),一个系统每隔大约50ms不间断地发送广播数据包(到255.255.255.255 )。 这不是发送太多的数据,而是非常持久。 这对我们的系统有一个奇怪的影响 – 如果系统启动,重新启动,或者networking重新启动( ifdown … ifup等),而此stream量存在,networking接口将无法正常工作。 它声称是up但只是坐在那里logging成千上万的Rx超限/帧错误。 我们没有成功地收到任何东西(PING等)给我们,也不能发送任何东西,PING失败,就像他们已经失踪(他们显示成功传输,但从来没有真正离开我们),而不是被主动拒绝/下降。 networking驱动程序似乎相信它的工作正常,但没有进入或退出。 如果我们删除stream量并启动/重新启动/重新启动networking,界面就会出现并且运行良好 – 如果我们重新引入stream量,我们就不会看到溢出/帧错误消失。 作为一个运行Busybox的小型embedded式系统,我们既没有在search时发现的一些重要build议(增加Rx缓冲区是我find的主要缓冲区)的function,也没有提供全部的networking工具。 相反,我正在寻找根本原因的build议和/或build议从哪里开始尝试和防止这种情况发生。 这可能像调整内核参数或重buildnetworking驱动程序一样简单 – 在明信片上回答! 如果需要更多信息,请询问 – 除了ifconfig的Rx Overflow / Frame统计信息,这不会产生任何错误,所以没有什么值得发布的。
由于IP地址是公共的,我们在公共networking上有几台虚拟机。 今天我们收到了以下电子邮件: 我们已收到以下投诉xxx.xxx.xxx.xxx。 请调查,采取任何必要的措施,并在24小时内回复此电子邮件,提供完整的解决scheme详细信息,以避免TOS违规行为中止和/或终止。 为了确保所有的沟通都被收到,请不要打开支持票。 只需回复此电子邮件,我们将与您联系。 只有在需要技术人员暂停服务器时才打开支持服务单。 | ————————————————- ————— | | 在这行下面是我们收到的投诉的一个例子:| | ————————————————- ————— | 主题:用于攻击的开放recursionparsing器:xxx.xxx.xxx.xxx正文:您似乎正在运行一个开放的recursionparsing器,IP地址为xxx.xxx.xxx.xxx,它参与了我们客户的攻击,生成对欺骗性查询的大量UDP响应,这些响应由于其大小而变得碎片化。 请考虑用以下一种或多种方式重新configurationparsing器: 为了只为客户提供服务并且不响应外部IP地址(在BIND中,这是通过在“allow-query”中定义一组有限的主机来完成的;对于Windows DNS服务器,您将需要使用防火墙规则来阻止外部访问到UDP端口53) 为了只提供权威的域(在BIND中,这是通过在整个服务器的“allow-query”中定义一组有限的主机,但是为每个区域设置“allow-query”为“any”来完成的) 要限制对单个源IP地址的响应(例如使用DNS响应速率限制或iptables规则) 有关此类攻击的更多信息以及各方可以采取哪些措施来缓解攻击,请访问: http : //www.us-cert.gov/ncas/alerts/TA13-088A 如果您是ISP,请查看您的networkingconfiguration,并确保不允许欺骗性stream量(假装来自外部IP地址)离开networking。 允许欺骗性stream量的主机使得这种攻击成为可能。 在这次攻击中,来自parsing器的DNS响应示例如下:= 20date/时间戳(最左边)是UTC。 …删除隐藏IP地址 (在上面的输出中,我们客户的IP地址的最后八位字节被屏蔽,因为当包含多个IP地址时,一些自动分析器变得混乱,该八位字节的值是“185”。) 我跟着这个链接: https://www.us-cert.gov/ncas/alerts/TA13-088A 从它告诉我的情况来看,那些邪恶的人正在使用我们的服务器来引起拒绝服务攻击,至less这是我从链路上收集到的。 这表明我们做了以下改变: 我的问题是,这将导致与networking上的其他虚拟机的问题,这将解决这个问题? 是否有任何影响做出这一改变? 任何有处理这个问题的build议? 我们有3个域控制器,我们可能需要调整以防止这种情况。 先谢谢了! 编辑#1 如果我们将防火墙规则设置为只包含我们在52端口上的IP地址,那么能解决我们的问题吗? 只是一个想法。
Nginx有这个有用的模块,名为ngx_http_limit_req_module ,您可以根据IP或请求数量限制对服务器的请求。 是否可以限制包含自定义标题的位置? 例如,我尝试过,但它无法启动nginx。 location /myservice { if ($http_x_custom_header) { limit_req zone=one burst=5; } } 具体的错误是: nginx:[emerg]“limit_req”指令不允许在/ etc / nginx / sites-enabled / default这里 即它不喜欢if块中的limi_req指令。 在if区块之外很好。 尽pipe如此,我也许能够在位置之外使用不同的极限参数。
昨天我在Azure上的虚拟机受到DOS攻击。 症状是我无法通过RDP进行连接,除非服务器刚刚重新启动,并且仅在重新启动后的一小部分时间。 一旦我连接成功,使用netstat,我注意到来自台湾IP地址的50个RDP连接试验(使用服务器的人来自意大利)。 因此,我阻止了Azure门户中的特定IP地址(传入的安全规则),我的服务器又回到了正轨。 问题是:Azure默认包含DDOS攻击防范系统,不是吗? Azure中是否可以configuration额外的元素来防止这些问题? 因为目前我只禁止一个IP地址(昨天的攻击者)。 非常感谢,法比奥
我怎么能发现,如果我的服务器正在执行一些非法的行为,如洪水?
什么是防止游戏服务器DoS攻击最有效的方法? 目前我做这样的事情: iptables -A INPUT -p udp –dport 27015 -m length –length 28 -j DROP 这是最好的方法吗?
如果我configuration了Active Directorylocking策略,则有人可以使用重复的错误login尝试将用户locking。 如果有足够的不良login尝试来自它,我该如何阻止一个IP? 我可以通过IIS来做到这一点吗?还是我需要别的东西? 我使用Windows 2008 Server Standard R2上的IIS 7.5在Outlook Web Access上运行Exchange 2010。