我正在使用iptables的速率限制模块来防止DoS攻击(我知道它不能阻止全面的DDoS攻击,但至less可以帮助更小的攻击)。 在我的规则中,我有这样的东西: /sbin/iptables -A INPUT -p TCP -m state –state NEW -d xx.xxx.xxx.xx –dport 80 -m limit –limit 20/minute –limit-burst 20 -j ACCEPT 它运作良好,直到昨晚有人不停地打我的80港口。 连接按规则丢弃(如日志所示)。 但是,这也使服务器对其他合法用户不可用。 我不明白为什么会这样。 我认为除了淹没服务器之外,不会影响任何其他用户。 是否因为iptables不堪重负? 任何反馈将不胜感激。 谢谢!
查看thc-ssl-dos,只会启用启用重新协商的SSL启用网站。 我一直在检查几个服务器,并有以下问题; 第一; 在我的Apache安装中,重新协商是默认禁用的,所以在什么情况下我可以启用它? 其次; 我有一个有几个虚拟主机的开发盒,我怎么能启用它(只对默认网站),所以我可以testing这种攻击的有效性? 我在Debian上运行apache2。 谢谢。
我怎么知道短时间内有很多请求来自DoS攻击,而不是来自正常的浏览器请求?
当你浏览你的日志时,你使用什么标准来确定它是否是你(即:你需要加强你的服务器)还是他们(即:它们在DoS上接近)? 你认为有多less连接/秒是合理的?为什么? 你是否还有其他的规则(例如:join了同样转介垃圾邮件的IP?)
我有一个网站在过去一个月里每天都有一个DDOS同时被攻击,花了一个月的时间研究和查明bug后,我们制定了一个bash脚本,如果连接在一分钟内达到80+那么IP被禁止并被放入IPTABLES。 这工作了两天,我觉得我终于解决了这个问题。 但是,唉,现在这个人发送多个IP只有一个连接(审查输出在这里http://pastebin.com/7AJqBfJa )。 这就像使用一个IP每分钟发送150个连接一样,将站点closures。 这当然是一个完全不同的方法,当涉及到防止DDOS,我正在寻求大师的帮助和任何足够好的照顾,给一些build议。 在这一点上,我对如何解决这个问题感到茫然,任何帮助将不胜感激。
我问了一个关于防范DoS攻击的IT安全性StackExchange的问题 。 其中一个答案是安装Fail2Ban。 我和pipe理服务器的人谈过,他们告诉我,Fail2ban默认安装是为了监视失败的SSHlogin尝试。 他们问我是否想要在服务器上观看其他服务。 我应该通过Fail2ban监视哪些服务来防止DoS攻击? 这只是HTTP服务 – 在x时间内监视来自同一个IP的多个请求吗? 其中一个攻击似乎与sleep命令创build了很多与MySQL数据库的连接。
我有一个奇怪的问题 – 在一个高stream量的网站上(每月有数百万的访问者),每天我们得到大约20个左右的情况,一个主机开始不断请求同一页面,每秒多次 – 从几分钟到一整天的任何时间长度。 这个攻击显然不是恶意的,因为我已经回溯了IP地址,并将其与我采访过的一些注册用户进行了匹配。 他们说,当发生这种情况时,我们网站上的JavaScript计数器“保持清爽”,他们的计算机变得很慢,但是否则可用。 这不会发生在每一页的负载,而是零星的。 日志命中有以下特点: 他们开始“正常” – 首页加载实际上访问所有页面的资源,以及.php 然后主机开始请求只是PHP页面,没有资源不断,通常每秒(但有时更快,有时慢几秒) 远程浏览器始终是Firefox 3.5.x 即使第一个页面请求有一个,后续的点击也没有引用 我们终于明白如何处理这件事。 一个简单的DoSfilter是不合适的 – 我们拥有这个filter,触发它的阈值远高于单个页面请求(没有相关的图像,CSS等)。 该堆栈是LAMP,Redhat安装,PHP 5.2,Apache 2.2.3,带有作为软件负载平衡器的NGINX盒子。 这是粉碎我们的网站 – 请帮助! 在没有好的想法的情况下,我们要求写一个虚拟filter,在memcached中存储一个IP + URI的密钥,并递增每个页面的请求。 一旦在一定的时间内超过了一定的门槛,我们还会有403个请求。 但是,我不认为这是networking堆栈中处理这个问题的适当的地方。 感谢您的贡献!
我们的W2K3 DNS服务器似乎受到某种DOS攻击,但我似乎无法find任何关于攻击的描述或理由。 三台特定的远程主机用这样的线路轰炸了我们三台DNS服务器中的两台: 8937 891.093750 91.205.43.25 ns2.me.com DNS DNS: QueryId = 0xDA7C, QUERY (Standard query), Query for of type NS on class Internet 8938 891.218750 91.205.43.25 ns2.me.com DNS DNS: QueryId = 0xA504, QUERY (Standard query), Query for of type NS on class Internet 8939 891.219727 91.205.43.25 ns1.me.com DNS DNS: QueryId = 0x4E3F, QUERY (Standard query), […]
最近两天我们的Tomcat 5.5基于Linux的networking服务器已经在几分钟之内被分解,开始数千次下载并停止它们。 访问日志中的一些请求path以类似“?jfkdsjkfsdk”的部分结束。 Tomcat系统是否存在这种攻击的已知漏洞? 更新:我们目前正在运行纯粹的Tomcat,没有Apache。
我正在写一个有很多恶性竞争对手的Web服务。 像以前一样恶毒:人们在这个舞台上开店几个小时就得到了DDoS。 该服务将包括: 一个网站,您可以注册并检查统计/等…(所有这些都是使用https服务) 一个在端口8000+范围内运行的Web服务。 什么(如果有的话)端口将是最容易攻击和/或closures服务器? Web服务器还是Web服务? 我知道nginx有一些相当不错的DDoS保护,所以我正在调查和负载平衡的网站。 任何build议,以dynamic的DDoS保护与各种其他端口与Linux将不胜感激。