可能重复: 我的服务器被黑了应急 我们有一个远程Linux(Debian)服务器,显然,这个服务器被用作一个平台来实施DoS攻击。 我们已经被托pipe我们的服务器的公司发出警告,表示我们有大量来自该服务器的传出stream量。 我想知道的是:我怎样才能跟踪并最终杀死导致这么大stream量的stream程呢? 之前我曾经玩过类似的东西,但是前一阵子,我想我记得用'lsof'来跟踪这个过程。 但是,lsof没有安装在这台服务器上,而且以前从来没有在Linux上安装任何东西,我真的不知道如何安装它。 我很感谢在这个问题上的任何build议或指导,但主要问题是基本上如何跟踪恶意进程?
在过去的几天里,我完全无法使用我的服务器。 我一直在联系攻击我的知识产权的所有者,但这是一场艰苦的战斗。 既然我不知道谁在攻击,我能做些什么来阻止这次袭击? 我已经和主机托pipe中心谈过了,他们告诉我说他们没有做任何ddos的缓解(尽pipe我的服务器出现故障之前我有一个IP列表)。 我曾经考虑过将这些数据包反弹到一些正在进攻的小主机上,希望他们能够下山,但是我真的不喜欢拍摄这个使者的想法。 我不明白为什么主办IP的公司没有采取任何措施来阻止这一点。 帮帮我!
lanl.arxiv.orgmath和科学预印本服务(以前称为xxx.lanl.gov )对于忽视机器人的机器人有严格的政策.txt , Robots Beware 。 在这个页面上,有一个标有“点击这里启动自动”search和摧毁“对您的网站”,这是robots.txt禁止的链接,但大概行为不端的机器人会遵循它,并收获的后果。 这个问题,实际的后果是什么? 我从来没有胆量,实际上点击该链接,看看它是什么。 他们能做些什么既有效又合法?
最近,我的监控服务通知了一些Windows 2008服务器(hyper-v实例)停机。 我login到Hyper-V盒子,发现一切都非常慢。 我打开任务pipe理器,看到CPU和内存都很好,我们的“公共”网卡的networking利用率是99%。 这持续了大约10分钟,在此期间,我发现禁用其中一台服务器的入站连接,导致networking饱和度下降到正常水平。 我禁用了该服务器的入站连接,以允许其他服务器运行,并最终stream量消失。 我怀疑这是一个DDOS或定期拒绝服务攻击,但似乎很随机。 有问题的服务器的能见度很低,而且不会有人把它拿下来。 如果我遇到DDOS攻击,最好的方法是什么? 还有什么可以想到的吗?如果有的话,我该找什么? 编辑:这再次发生。 我试过netstat -noa,但没有看到有用的东西。 我希望有一些命令或程序可以运行,告诉我每个IP使用了多less带宽(即它说networking利用率是100%,但是这又是如何加起来的)。 有这样的事吗?
如果我将nginx工作进程限制为1并允许500个连接,如果超出此限制会发生什么情况? 服务器是否返回503服务不可用? 基本上,我试图确保我的系统对抗DoS,不要期望每秒有超过500个同时连接。
如何防止Windows / IIS服务器上的DDoS攻击?
我的客户想要让他的电子商务(定制)网站免受DDoS攻击。 我可以实施什么策略? 在采购stream程中有多种forms – search,钻取到产品,用户信息和付款,我想避免validation码。
我们运行了一个相当大的游戏服务器托pipe公司,大约有60台运行Server 2008的机器,而DDoS攻击已经有很长一段时间了。 不幸的是,由于市场的价格,我们或任何其他公司都不可能在我们所有的数据中心中使用硬件防火墙。 我们的行动方式一直是联系数据中心,并将IP地址/端口路由24小时。 这当然是一个非常吸引人的方式来处理这个问题,特别是对于我们的客户。 据我所知,一个软件防火墙只会使DDoS攻击的问题复杂化。 我已经阅读了一些关于加强TCP / IP协议栈的内容,但是听起来好像Server 2008没有太多东西可以帮助解决这个问题。 我们可以做些什么吗?
我开始看到这种类似于对Linux服务器的拒绝服务攻击的奇怪结果。 其结果是,networking至less部分不能使用,就像传统的DOS或DDOS攻击一样。 下面是在“攻击”期间修剪的netstat转储(假设是这样): Proto Recv-Q Send-Q Local Address Foreign Address State PID tcp 1 0 1.2.3.1:80 50.128.251.184:1768 CLOSE_WAIT 18482/httpd tcp 0 1 1.2.3.4:80 71.75.22.31:52323 LAST_ACK – tcp 0 18980 1.2.3.4:80 98.180.31.210:60499 ESTABLISHED 18016/nginx: worker tcp 0 11709 1.2.3.4:80 98.180.31.210:60498 ESTABLISHED 18016/nginx: worker tcp 0 55743 1.2.3.4:80 71.75.22.31:52239 LAST_ACK – tcp 0 0 1.2.3.5:80 75.190.139.103:58265 ESTABLISHED […]
那么最近我一直在阅读有关不同的拒绝服务方法。 一种突出的方法是SYN泛滥。 我是一些不那么好的论坛的成员,有人卖了一个python脚本,它会使用带有伪造IP地址的SYN数据包来拒绝服务器。 但是,如果您向服务器发送了一个SYN数据包(具有欺骗IP地址),则目标服务器会将SYN / ACK数据包返回给被欺骗的主机。 在这种情况下,欺骗主机是不是会返回一个RST数据包,从而否定了75秒的等待,并最终尝试拒绝服务器?