我的服务器正在从74.125.170.60 每秒连接请求数以千计。 我在ARIN上查看了IP地址,并且在Google地址块中。 You searched for: 74.125.170.60 Network Net Range 74.125.0.0 – 74.125.255.255 CIDR 74.125.0.0/16 Name GOOGLE Handle NET-74-125-0-0-1 Parent NET74 (NET-74-0-0-0-0) Net Type Direct Allocation Origin AS Organization Google Inc. (GOGL) Registration Date 2007-03-13 Last Updated 2012-02-24 Comments RESTful Link https://whois.arin.net/rest/net/NET-74-125-0-0-1 See Also Related organization's POC records. See Also Related delegations. 从ARIN页面 : Point […]
总之,我有一个情况,所有的Apache线程都被挂起了,因为所有的这些线程都在发送HTTP页面之后等待来自客户端的TCP ACK,因此,Apache线程在等待300秒之前(conf的超时值)去下一个请求。 然后发生同样的事情。 事情发生的情况是:stream量突然高峰,apache&db服务器负载如预期的那样上升,并且在某个时刻,每个apache线程都进入这个状态,并且apache&db负载变为0。这样几个小时。 在apache重新启动后,页面再次正常处理,负载上升,再次发生,负载变为0.现在,如果这是一个攻击或一些不好的软/硬件的后果还不得而知。 详细信息:当一切都挂起,你去apaches的服务器状态页,所有的线程被标记为“W”(工作),你看到定时器SS(处理请求的时间)上升到300s,然后转到下一个HTTP请求并重新开始到300s。 在通过netstat的套接字部分中,我们看到这些Apache线程的所有套接字都挂在CLOSE_WAIT中,并具有较高的Send-Q值(发送的数据包未确认)。 使用strace,我们确实看到Apache在套接字上做了一个300(轮询)(),等待数据包被确认。 现在,无论是一个攻击还是一些不好的networkingconfiguration丢失了数据包,我的问题是:我们如何防止这个? 这似乎是一种特别讨厌的攻击。 我知道缓慢的loris攻击,当你非常缓慢地发出一个HTTP请求时,如果你有一个CDN,一个反向代理,这可以被减轻…但是对于这个特殊情况,我没有看到什么能够阻止那? 你会如何防止这种情况发生? 谢谢!
最近我的apache得到了DoS攻击,它发生了攻击者泛滥的SYN请求到我们的apache,我知道是因为那时我已经启用了wireshark。 攻击完成后,我重新启动我的Apache和它的全部运行正常。 但是,当我从mod-status检查我的serverstatus时出现了一些线程正在显示的问题 > 0-92 61968 0/0/674 R 1125 0 0.0 0.00 22.93 ? ? ..reading.. > 0-92 61968 0/0/29 R 537889 0 0.0 0.00 0.01 ? ? ..reading.. > 0-92 61968 0/0/852 R 1158 15 0.0 0.00 15.05 ? ? ..reading.. > 0-92 61968 0/0/2 R 537933 578 0.0 0.00 0.02 ? ? ..reading.. […]
我正在采取一个安全模块,我的项目团队打算通过模拟它们来研究DoS攻击,以更好地理解机制,破坏和防止机制等。 有人可以给我一个build议,我可以find一个很好的DoS模拟器? 有没有可以模拟大范围的DoS攻击的模拟器? 我可以用一台电脑在没有任何僵尸代理的情况下实施DoS吗? 我是这个DoS主题的新手。 请原谅我,如果我的问题听起来哑巴你:P。
我正在将一些应用程序从Apache 1.3迁移到2.2。 我们曾经运行一些testing,攻击者打开一些HTTP连接到我们的服务器,什么都不做。 Apache 1.3会logging以下408个代码,例如: 126.1.86.85 – – [01/Dec/2010:06:26:19 +0000] "-" 408 – "-" 0 126.1.86.85 – – [01/Dec/2010:06:26:19 +0000] "-" 408 – "-" 0 但是在Apache 2.2中,没有任何东西被logging到日志文件中。 我使用netcat运行相同的testing来打开连接: $ nc IP_victim PORT_victim $ nc 10.42.37.3 80 我想让Apache 2.2将相同的408代码logging到日志文件中,以便我们知道从外部尝试的DoS攻击。 在Apache 2中是否需要更多configuration来启用此function? 我尝试了一些不同的configuration,例如LogLevel = Debug, Timeout 30, RequestReadTimeout header=10 body=30. 谢谢。
我的一台服务器被随机端口上的udp数据包淹没。 12:11:54.190442 IP 182.48.38.227.60173 > localhost.51523: UDP, length 1 12:11:54.190447 IP 182.48.38.227.60173 > localhost.23769: UDP, length 1 12:11:54.190560 IP 182.48.38.227.60173 > localhost.4655: UDP, length 1 12:11:54.190564 IP 182.48.38.227.60173 > localhost.13002: UDP, length 1 12:11:54.190685 IP 182.48.38.227.60173 > localhost.52670: UDP, length 1 12:11:54.190690 IP 182.48.38.227.60173 > localhost.21266: UDP, length 1 12:11:54.190696 IP 182.48.38.227.60173 > localhost.7940: UDP, […]
我有一个托pipe服务提供商,有一个基本的灯栈设置一片。 我今天正在检查我的Apache日志,我得到了总是随机(似乎)请求到我的Apache服务器。 例如,这里有两个条目: 174.129.95.125 – – [20/Jul/2011:07:28:27 +0000] "GET http://www.czhlk.com/sony/cheng2/error.asp HTTP/1.1" 200 11322 "http://www.baidu.com" "Mozilla/4.0" 117.41.235.133 – – [20/Jul/2011:07:28:29 +0000] "GET http://113.105.144.166:8083/Payrank.php HTTP/1.1" 200 11315 "http://113.105.144.166:8083/Payrank.php" "Mozilla/4.0" 现在我只有一些testing的PHP脚本,所以我不期望有很多的stream量,但我收到了几秒钟的请求,类似于刚刚发布的条目。 奇怪的是,如果您查看访问日志中请求的url,则不会引用我的计算机上的资源。 我已经安装了chkrootkit,找不到任何东西。 我也检查了密码文件和其他地方,看看有人可能会黑客我。 到目前为止,我还没有find任何东西,但我不是系统pipe理员或任何东西,只是一个软件开发人员。 此外,日志中的所有http代码都是'200',这对我来说很奇怪。 那么,我的apache是如何返回200的HTTP请求,而不是请求我的服务器上的任何东西? 我会期待这样的事情: 98.248.117.137 – – [20 / Jul / 2011:07:35:03 +0000]“GET /index.php”…. 不是完全不同网站的完全合格的url。 我错过了什么,对不起,如果这是一个愚蠢的问题。 这里是我的mods-available / proxy.conf文件的内容,到目前为止我没有看到任何错误: #使用ProxyRequests并允许代理从所有可能允许#垃圾邮件发送者使用您的代理发送电子邮件。 ProxyRequests Off <Proxy *> […]
我现在有一个ddos的问题。 我的networking服务器是在一个反向代理(cloudflare)后面,我知道不应该依靠他们的免费计划。 Cloudflare处于攻击模式下,导致访问者完成浏览器检查。 通过直接IP访问站点将只redirect他们。 我正在使用nginx的请求限制function,但这似乎没有帮助,因为攻击者正在使用一个巨大的代理列表。 请求中没有巨大的红旗,所以我不确定WAF是否有帮助。 不过有趣的是,当我查看错误日志时, 我看到什么导致DOS是以下错误(该文件完全填充) 2015/09/03 19:22:12 [crit] 3427#0: accept4() failed (24: Too many open files) 我现在认为他们正在通过直接的IP攻击,但redirect不足以阻止他们使我达到我的开放文件的限制。 有什么我可以做,阻止这个? 谢谢 编辑:我不相信他们直接攻击IP,因为我在网站上运行的软件仍然检测到攻击者造成的大量的stream量。 编辑:这是他的垃圾邮件的交通的几行。 cloudflare的开箱即用WAF会阻止这个吗? 87.135.112.116 – – [05/Sep/2015:14:47:53 +0200] "GET /index.php HTTP/1.0" 200 15767 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; […]
我们使用HAproxy作为前端负载平衡器/代理,并正在寻找阻止随机IP地址干扰群集的解决scheme。 是否有人熟悉HAProxy的conf,可以阻止请求,如果他们超过了一个特定的阈值从一个单一的IP在规定的时间内。 或者任何人都可以提出一个可以放在HAProxy前面的软件解决scheme来处理这种阻塞。
有一个CentOS-5.x盒子似乎因PING而下降。 如果服务器得到PING,它将停止回复到ssh / http连接。 出现iptable是一种方法,但我想确保我正在做我应该做的一切。