在我们的一个系统中,我们看到很多需要75秒的请求。 在低stream量响应下约0.3秒。 我想知道的是,如果有人试图保持连接打开,以消耗连接池。 但是为了避免检测,在超时之前closures它。 我们的服务器在负载平衡器之后。 还是有人知道如果75秒是默认值的东西?
我们的办公室ADSL上有一个小型的辅助DNS服务器。 然而,它目前正在为熟食网站获得数百个请求,这正在使我们的连接饱和。 从网上阅读看,它可能是一个放大的DNS攻击的一部分。 它的Windows 2008,愚蠢我没有禁用recursion(我已经完成了主)。 recursion现在已经被禁用了48个小时,但是这个请求还在继续(不过,对我们带宽使用的影响比较小)。 我联系了英国电信业务部门,他说,由于来源不在他们的networking上,这不是他们的问题。 我已经联系了源stream量地址的提供者,但他们都回应说IP是被欺骗的。 我目前只是试图让防火墙保持最新状态并手动阻止,但这不是一个长期的解决scheme。 任何build议下一步做什么,将不胜感激。
我们的一个基于MediaWiki的项目似乎受到了DoS攻击 – 一些匿名用户试图编辑页面并查看或编辑历史请求。 虽然匿名编辑被禁用该项目,这些匿名用户(我假设,机器人)实际上不能改变页面,负载严重到足以显着减慢服务器。 我们只有一个服务器机箱,大约有8Gb的RAM专用于这个项目。 它在Linux下的Apache服务器上运行最近的MediaWiki版本。 其中一个想法是改变(也许是暂时的)一些MediaWiki代码,以禁止匿名用户进行编辑,查看源代码和编辑历史请求 – 这样做的早期是stream程,确保尝试被最less的资源拒绝。 或者,也许这不是一个好主意,可以做其他事情。 我们目前使用IPTables阻止stream量,这对我们来说是有效的(网站保持运营)。 然而,这种阻塞需要太多的关注 – 攻击者似乎控制着来自世界各个angular落的一大堆IP地址。 假设我们对Linux服务器有完全的控制权限(root权限),那么可以这样做来更好地屏蔽它? 我们已经在应用最终用户级别的方法,如通过Web界面禁用匿名编辑。 这仍然产生足够的负载不是一个完整的解决scheme。 另外,仅仅隐藏控件是不够的 – 即使“编辑”选项卡已经不可见,编辑请求也会出现。
我们使用一台连接到Cisco 6500的PRTG服务器,该服务器以路由器拓扑结构提供大约1200个交换机和无线电的大型networking。 在PRTG中,我可以在设备上设置“ping burst”传感器,并且可以设置ping大小,计数,超时和延迟(每次计数之间)。 我有我所有的突发传感器的大小为32个字节,超时5秒,计数100,延迟100毫秒。 所以每一分钟100个32字节的ping将在每个100ms之间发送。 我有超过几个这些传感器设置在整个networking,一个在6500.我的问题是,6500显示5-8%的损失偶尔出现峰值,几乎一致的1-2%的损失,即使它是一个10 GIG切换走。 有没有办法告诉路由器是否放弃了DOS怀疑这些? 我也有一些场景,其中A喂B和B喂C,所有3个都有传感器,但有时A和C会显示相同的损失峰值,但会从B中丢失。我无法理解这是怎么回事。 SNMP比ping突发更准确吗?
我在我的web服务器上看到如下一些日志 203.252.157.98 – :25:02 "GET //phpmyadmin/ HTTP/1.1" 404 393 "-" "Made by ZmEu @ WhiteHat Team – www.whitehat.ro" 203.252.157.98 – :25:03 "GET //phpMyAdmin/ HTTP/1.1" 404 394 "-" "Made by ZmEu @ WhiteHat Team – www.whitehat.ro" 203.252.157.98 – :25:03 "GET //pma/ HTTP/1.1" 404 388 "-" "Made by ZmEu @ WhiteHat Team – www.whitehat.ro" 203.252.157.98 – :25:04 […]
很多例子告诉我每秒要有5或4个请求。 因为一般顾客在1秒或者2个链接中点击约1秒,所以每隔2个要求防御就好了。 但我害怕任何未知的缺点 所以我需要一个build议,因为我从来没有听说过2req / sec的防守 谢谢
我有我的kern.log淹没这些线路: Jan 4 03:00:57 myhost kernel: [9040601.809740] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=33285 PROTO=UDP SPT=25345 DPT=53 LEN=44 Jan 4 03:01:09 myhost kernel: [9040613.699425] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=62996 PROTO=UDP SPT=25345 DPT=53 LEN=44 Jan 4 03:01:21 myhost kernel: [9040625.584770] iptables denied: IN=eth0 OUT= […]
我有一个Linux的Apache服务器,运行良好,直到前几天。 发生了什么事情是从访问日志中有这样的行,日志文件每秒都在增长。 最初我怀疑服务器被dos攻击,并停止服务器。 但每当我启动服务器几天后,类似的日志发生。 我想知道是否有人知道发生了什么? 是由病毒引起的吗? 23.19.76.217 – – [17/Oct/2012:10:21:47 -0400] "GET http://ad.globe7.com/st?ad_type=iframe&ad_size=728×90§ion=3633732&pub_url=${PUB_URL} HTTP/1.0" 200 4497 142.54.177.114 – – [17/Oct/2012:10:21:47 -0400] "GET http://ad.globe7.com/imp?Z=300×250&s=3582878&T=3&_salt=3106601030&B=12&m=2&u=http%3A%2F%2Fwww.homesearchcar.com%2F%3Fp%3D184&r=1 HTTP/1.0" 302 –
我在数据中心的防火墙外部安装了SQL Server 2005服务器。 它完全是最新的补丁等。 还有一些老的MSSQL蠕虫(Slammer), STILL感染了全世界数以千计的服务器,他们正在寻找感染服务器。 当他们find一台服务器时,即使感染企图不成功,他们也会开始进行数十次连接尝试,从而使SQL Server瘫痪。 在过去的5年左右,这种情况已经发生了(平均每隔几个月就会发生一次),我只是使用本地安全策略来阻止每个被感染的IP地址。 但是,这已经开始变老了。 有没有configuration选项,可选的修补程序,会阻止它甚至听这些连接尝试? 我已经考虑过三种解决scheme: 阻止所有传入的连接在1433而不是从“白名单”IP不是一个选项。 我需要在路上,在家等路线 在WAN上阻塞1433,然后使用VPN来达到它是不是一个选项。 处理这些事情会比偶尔阻止恶意服务器更令人头痛。 从1433端口换到其他东西不是一个select – 这将需要我处理IT地牢,从办公室获得另一个出站端口的例外,我很幸运的说服他们让我1433出站。 提出的问题的答案: 我们有零预算。 我正在寻找一个解决scheme来修复MSSQL的这种感染企图被置于DOS状态的明显漏洞。 如果微软的回答是阻止端口,我不认为这是一个解决scheme。 我意识到,大多数人宁愿隐藏在防火墙后面的服务器的软肋,而不是实际上硬化它。 我不在“Windows域”上 – 有一半时间是为了与数据库相关的任务而连接的,一个是来自OS X机器,无论是在家中还是在路上。 将另一个盒子作为防火墙/入侵检测将使我的托pipe费用翻倍。 不实际。 请相信我w / r / t VPN …这在我的情况下是不实际的。 如果没有可以接受的解决scheme,我将生活在现状中。
我的web服务器在thinker / js / think.js和thinker / showSimilarInfo.do上获得了很多GET请求。 这些请求显然构成了服务器攻击。 这些攻击的目的是什么? 另外,有没有办法自动禁止正在尝试这种攻击的IP。