我用C#编写了一个服务器用于Windows,它工作正常。 一周前,我用No-Ip.com设置了一个dynamic域名,现在我的服务器在地址nabeel.ddns.net上提供页面。 我正在查看我的服务器日志,我发现了两个奇怪的请求: 16:41:52 21-04-2015 94.66.163.214 :::: x | aAL Wͼ \ &K 2 Q@ 和: 11:36:21 21-04-2015 146.185.239.100, File: http://24×7-allrequestsallowed.com/ (我改变了从[时间] [date] [IP地址] [请求path]到[时间] [date] [IP地址] [整个请求]之间的日志格式) 在两个IP地址上进行的whois查询显示,两者都在分配给RIPEnetworking协调中心(RIPE)的networking范围内。 我应该怎么做,这是否符合DOS攻击? 我应该通过电子邮件发送RIPE吗? 请帮忙
如果我打开“ Control Panel >“ Security >“ Protection ,请选中“ Enable DoS Protection ,然后单击“ Apply ,阻止什么样的stream量? 该文本显示“拒绝服务(DoS)保护有助于防止互联网上的恶意攻击”。 我找不到更详细的信息。 除了有助于“防止恶意攻击”,DoS保护更准确地做了什么? 它如何知道哪些是恶意攻击,哪些是有效的请求? 我需要更好的定义什么被封锁,所以我不会错误地阻止有效的stream量,如果我启用这个。 而在这种特殊情况下,我需要支持一个不幸需要同时或快速连接150个连接的应用程序。
我有一个面向公众的IIS 7.5 Web服务器,运行一个单独的ASP.NET网站,这个网站在我们的安全扫描中发现了一个“缓慢”的漏洞。 已尝试降低该站点的web.config中的httpruntime executiontimeout值,但该站点仍然无法执行安全扫描。 任何人有任何build议到IIS设置/configuration,以防止缓慢的DOS后攻击? 编辑:我想唯一的方法可能会阻止这是在应用程序中,在global.asx beginrequest子查看头,并根据内容的种类,结束/closures响应… 该工具build议使用此testing漏洞: https : //www.owasp.org/index.php/OWASP_HTTP_Post_Tool但是我真的只是试图确定是否有任何iisconfiguration可以做到解决它。 缓慢的post:“ HTTP POST DDOS攻击如何工作(HTTP / 1.0)(续) 例如,Content-Length = 1000(字节)HTTP消息正文是正确的URL编码,但.. …..再次发送,例如,每110秒1个字节。 将这样的连接乘以20,000,您的IIS Web服务器将成为DDOS。 大多数Web服务器可以在单个HTTP POST请求中接受最多2GB的内容。 ref: https : //media.blackhat.com/bh-dc-11/Brennan/BlackHat_DC_2011_Brennan_Denial_Service-Slides.pdf
我需要的 : 在每一圈的时间内,通过请求数量增加一个丢弃规则的结果是很多的,但是我需要在一段时间内从一个特定的地址接收字节数量。 我调查的是: 我看着iptables:对于第一个案例,我看到了一个专门的匹配 。 我也看到了配额匹配,但数据统计是全球跟踪的。 我不知道如何混合两条规则来跟踪每个IP接收到的数据。 其他事情 : 我知道跟踪每个IP的字节数可以使用大量的内存,这就是为什么我也想保持短暂的时间。 我可以接受其他方法,只要有一个详细的例子。
那么最近我一直在阅读有关不同的拒绝服务方法。 一种突出的方法是SYN泛滥。 我是一些不那么好的论坛的成员,有人卖了一个python脚本,它会使用带有伪造IP地址的SYN数据包来拒绝服务器。 但是,如果您向服务器发送了一个SYN数据包(具有欺骗IP地址),则目标服务器会将SYN / ACK数据包返回给被欺骗的主机。 在这种情况下,欺骗主机是不是会返回一个RST数据包,从而否定了75秒的等待,并最终尝试拒绝服务器? 编辑:而如果我不使用SYN Cookie?
我有一台VPS系统,在一台主机上已经有三年没有问题了。 最近,主机开始向31.193.132.138发送极端数量的出站DNSstream量。 由于Linode对此做出的回应,我最近离开了Linode并搬到了6sync。 除了postfix邮件configuration之外,服务器在6sync上完全重build。 目前,守护进程运行如下: sshd nginx后缀dovecot php5-fpm(仅限本地主机)spampd(仅限本地主机)clamsmtpd(仅限本地主机) 鉴于服务器是100%重build,我找不到任何严重的攻击对上述守护进程,密码已经改变,SSH密钥甚至不存在重build等,这似乎是极不可能的一个正在被用来拒绝地址的妥协。 提供的IP作为已知的垃圾邮件来源在线logging。 我最初的假设是,它试图使用我的后缀服务器作为中继,它提供的虚假地址是域名注册为他们的域名服务器。 我会想象给予我的后缀configuration,DNS查询的东西,如SPF信息的数量将等于或大于发送垃圾邮件的尝试数量。 Linode和6Sync都表示,出站stream量是非常不成比例的。 以下是我从Linode收到的有关出站stream量的所有信息: 21:28:28.647263 IP 97.107.134.33.32775 > 31.193.132.138.53: 28720 op8+% [b2&3=0x4134] [17267a] [30550q] [28773n] [14673au][|domain] 21:28:28.647264 IP 97.107.134.33 > 31.193.132.138: udp 21:28:28.647264 IP 97.107.134.33.32775 > 31.193.132.138.53: 28720 op8+% [b2&3=0x4134] [17267a] [30550q] [28773n] [14673au][|domain] 21:28:28.647265 IP 97.107.134.33 > 31.193.132.138: udp 21:28:28.647265 IP 97.107.134.33.32775 > 31.193.132.138.53: […]
我如何准备我的网站基础设施运行在一个EC2实例对DOS攻击? 我用nginx作为反向代理运行apache
Windows的默认行为是在多次失败的authentication尝试(通常是三次)之后locking一个帐户。 这意味着与以下 net use \\targetmachine\c$ /user:targetaccount notthepassword net use \\targetmachine\c$ /user:targetaccount notthepassword net use \\targetmachine\c$ /user:targetaccount notthepassword 您可以locking一个用户,甚至可能会把整个公司拿下来,如果没有一个帐户有“这个帐户永远不能locking”选中。 这个安全“function”是否真的阻止了serice攻击的启动器? 而且这应该是默认禁用。 一个组织对这个stream氓员工的情况特别可笑。
好吧,这是令人沮丧的,我的网站在过去的三天中有数千个页面浏览量/连接,最后我们耗尽了每月的带宽。 我们购买了更多的带宽,closures了网站进行维护。 我们检查了日志,发现了一个负责任的IP并将其禁止,但是当我们打开这个网站的时候,攻击仍在继续。 这次来自不同国家的多个IP,他们访问了我们网站的不同页面数千次。 我们应该做什么? 编辑这可能是重要的:机器人或黑客或似乎坚持一个网页,并一遍又一遍地访问它(如我们的论坛会员页面),但当我们限制该页面的权限,它只是去find其他地方。 奇怪的。
我们正在遭受重创的洪水袭击。 Tcpdump显示下面的结果。 尽pipe我们用iptables阻塞了ICMP,tcpdump仍然打印icmp包。 我也附加了iptables的configuration和“顶”的结果。 有什么我可以做的,完全停止icmp数据包? [root@server downloads]# tcpdump icmp -v -n -nn tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 03:02:47.810957 IP (tos 0x0, ttl 49, id 16007, offset 0, flags [none], proto: ICMP (1), length: 56) 80.227.64.183 > 77.92.136.196: ICMP redirect 94.201.175.188 to host 80.227.64.129, length 36 IP (tos 0x0, ttl […]