这是脚本,它带有mod_evasive: #!/usr/bin/perl #test.pl: small script to test mod_dosevasive's effectiveness use IO::Socket; use strict; for(0..100) { my($response); my($SOCKET) = new IO::Socket::INET( Proto => "tcp", PeerAddr=> "MY_IP:80"); if (! defined $SOCKET) { die $!; } print $SOCKET "GET /?$_ HTTP/1.0\n\n"; $response = <$SOCKET>; print $response; close($SOCKET); } 如果我在PC上运行这个脚本,用我的VPS(openVZ,3个CPU核心2.53Ghz,1Gb RAM)的ipreplace“MY_IP”,服务器中的CPU负载增加得非常快。 如果我同时运行3或4个脚本实例,则CPU负载达到100%。 脚本停止后,CPU使用率将回到5-10%。 这是正常的吗? CSF被安装,并且阻塞了超过300个连接的IP,但似乎并没有阻止这个脚本。 如果我检查netstat -n | grep […]
在学习如何为我的Apache服务器进行简单DoS攻击的过程中,我发现了一些脚本来启动对我自己的服务器的攻击,并且注意到Apache经过几次尝试(而不是返回200)后返回错误代码403。 我猜这是Apache很好,但我不明白为什么这样做。 有没有任何configuration支配这种行为? 如果可以的话,我真的想完全closures这种行为。 请帮我理解一下! 谢谢。
我正在使用Apache Tomcat 7在Linux上运行我的webapp。 我通过Acunetix扫描它,它告诉我,我的web应用程序容易受到“缓慢的HTTP拒绝服务攻击”。 我怎样才能保护它? Acunetix正在把我逼到这里 ,但是关于保护Apache而不是Tomcat。
我有一个服务器与Apache2安装。 我尝试使用kali linux syn flood攻击来对服务器执行dos攻击,但是我仍然能够访问服务器上的网站。 msf auxiliary(synflood) > set Global No entries in data store. Module: dos/tcp/synflood ======================== Name Value NETMASK 24 RPORT 80 SNAPLEN 65535 TIMEOUT 500 UDP_SECRET 1297303091 VERBOSE false rhost 192.168.2.2 shost 192.168.1.8" 在监视服务器之后,我注意到只有CPU级别增加,RAM内存保持不变,没有任何改变。
我有一个问题是这个问题的延伸: AWS安全组不足以作为防火墙的例子? 。 最初,这个问题的答案对我来说是有意义的,而且我正在假定作为AWS安全组的防火墙对于我的应用程序基础架构来说已经足够好了(具有公共/专用子网+互联网网关+ NAT设备的AWS VPC +弹性负载平衡器)。 但是,今天早上,当我醒来检查我的服务器日志,我看到我收到了约。 一千个垃圾邮件GET请求过夜到不存在的path,从而导致从我的服务器404响应。 请求不断,并没有停止的迹象。 请求的IP地址是不同的,但在一个特定的范围内。 因此,我更新了Elastic Load Balancer上的networkingACL入站规则,并添加了一个拒绝对该范围内的IP地址的访问。 在这一点上,请求停止击中我的应用程序服务器。 我不知道攻击者是否试图阻止我,或者这只是标准的垃圾邮件。 自从我的系统上线以来,在过去的几个星期里,我每隔几小时就会收到类似这样的请求,但这些请求的数量/频率是我从未见过的。 我对服务器操作相对较新。 我很高兴能够阻止攻击继续加载我的应用程序服务器,但是我想知道是否有一个Web应用程序防火墙(实现为WAF三明治:Load Balancer-WAF-Load Balancer)如果整个情况都会照顾好我的话。 由于我是这个领域的新手,当我在这里阅读不同WAF产品的产品营销详情时,我的答案并不清楚: https ://aws.amazon.com/marketplace/search/results/ref=srh_navgno_search_box?page = 1&searchTerms = web +应用程序+防火墙 。 我真的在寻求实用的build议,以确定我是否需要在我的基础架构中使用WAF(即,我实际上不能依赖AWS安全组来保护我的系统免受垃圾邮件/ DDOS的攻击),以及我在产品中需要的基本function。 提前致谢! PS我的应用程序不是build立在SQL上,所以我不担心SQL注入攻击。
我怀疑sometings是在我的networking服务器出错(也许可能的拒绝服务攻击)。 其实我看到很多这样的条目: [Sun Jul 19 10:36:21 2015] [error] [client 141.212.122.18] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /x [Mon Jul 20 12:19:41 2015] [notice] caught SIGTERM, shutting down 是否有可能阻止他们? (的fail2ban?)
我一直在使用着名的VPS服务一年多。 除了偶尔会发生的一些DoS攻击之外,一切都很好。 而当它发生时,我的服务器变得无法访问。 当我今天在我的网站上使用WordPress时,我觉得服务器再次连接糟糕。 我写信给服务提供商,我知道他们会回应这是由于一些DoS攻击,然后他们确实回应说这是DoS攻击,他们减轻了它,并要求我检查是否仍然看到问题。 我的问题是… (1)这是真的吗? 总是DoS攻击? 很经常? (我这里的'经常'的定义是,每周可能会发生一两次,持续2到3分钟,也许会发生更多次,但我并不总是在线检查连通性。) (2)他们难道不能主动阻止吗? (看起来他们做不了多less,但是当它发生的时候就减轻了)
我想防止udp泛滥,所以我认为如果我放弃所有udps不来自内部networking,不涉及到udp连接,我可以防止udp泛滥。 换句话说,如果只有来自内部networkingudps,也来自外部networkingudps,但不是第一个,并与udp连接接受和其他人下降udp泛滥不会发生,我认为这个iptable代码,我写能行得通 # accept any packet that's a response to anything we sent iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p udp -s 8.8.8.0/24 -j ACCEPT iptables -A INPUT -p udp -j DROP 8.8.8.0/24是我内部networking的地址。 你认为这是真的吗? 我的代码是真的?
我正在c中制作一个http服务器。 这是在alpha阶段,但似乎足够稳定,部署在我的服务器上,并运行4个最小的网站。 它已经运行了两天,直到今天早上。 守护进程没有运行,没有干净地退出。 我看了看原木,发现连续10行说: [815259.230706] possible SYN flooding on port 80. Sending cookies. 然后没有更多的消息logging从http服务器,所以我认为这是它死的地方。 我不知道接收到的信号是什么消失,所以我认为它是SIGKILL,SIGSEGV或SIGABRT,因为它们没有被捕获,SIGKILL也无法被捕获。 我查了SYN洪水,这是一种DoS攻击。 我不确定服务器是否真的受到攻击,但是我收到的4个网站最多的请求最多只能运行1次,没有足够的可能被误认为是DoS攻击。 我的问题是: 这是一个DoS攻击有多大可能? 内核(linux)会因为这个杀死http服务器还是自己死掉了? 如果内核杀死了它,我如何防止这种情况发生,我不能让它意外死亡? 如果内核没有杀死它,死亡可能是由SYN泛滥造成的,我如何debugging它,还是更可能是一个无关的编程错误? 我应该采取哪些安全措施来防止SYN泛滥? 编辑:http服务器现在已经崩溃了3次发生相同的情况。
基本上,我正在寻找一个解决scheme,类似于类似(但是Linux专注的线程)中提到的解决scheme,以便我可以拒绝访问列入黑名单的IP。 我特别关注于一些公开提供的垃圾表单提交,我托pipe的客户不需要CAPTCHA。 几乎每一个我所追查的不好的IP都在我检查过的各种黑名单上,所以我希望通过否认这些IP来消除绝大多数的问题。 我遇到了两个工具( Peerblock和PeerGuardian ),但他们的安装页面都没有提到Windows Server 2008 64位计算机。 在Peerblock的下载页面上提到了Vista / Windows 7 64位机器的安装程序,但这对我来说有点令人不安,原因有两个:1)如果明确提到Windows Server 2008,我会感觉更好; 2)我相信该软件的预期用途是个人机器,我需要一个服务器级的解决scheme。 任何人有基于软件的select推荐…或有经验的这些运行在2008年的64位盒? 注:我意识到硬件防火墙是一个更好的解决scheme,但我有我的手需要和成本紧缩。 提前致谢。