我有一些面向公众的DNS服务器,这些服务器似乎是基于UDP的DDOS到端口53的攻击。 这些服务器是在OpenStack Hypervisors(Ubuntu 16.04)上运行的CentOS 7。 这次攻击充满了pipe理程序的conntrack表,导致所有其他邻居也中断连接。 我正在调整conntrack设置,如果可能的话,攻击一个实例有较less的机会影响其他人,也许net.netfilter.nf_conntrack_max增加到极端值? 这是具体的错误: Jul 2 22:38:47 compute2 kernel: [639738.070458] nf_conntrack: table full 这些是pipe理程序中的当前conntrack设置: net.netfilter.nf_conntrack_acct = 0 net.netfilter.nf_conntrack_buckets = 65536 net.netfilter.nf_conntrack_checksum = 1 net.netfilter.nf_conntrack_count = 78794 net.netfilter.nf_conntrack_events = 1 net.netfilter.nf_conntrack_expect_max = 1024 net.netfilter.nf_conntrack_frag6_high_thresh = 4194304 net.netfilter.nf_conntrack_frag6_low_thresh = 3145728 net.netfilter.nf_conntrack_frag6_timeout = 60 net.netfilter.nf_conntrack_generic_timeout = 600 net.netfilter.nf_conntrack_helper = 1 net.netfilter.nf_conntrack_icmp_timeout = 30 net.netfilter.nf_conntrack_icmpv6_timeout […]
我做一个IP地址作为源地址的TCP SYN洪水攻击,我测量服务器的响应时间。 然后我做随机IP地址作为源地址(DDOS)的TCP SYN洪水攻击,我也测量服务器的响应时间。 我想两个响应时间应该是相同的,但是我看到,从不同的ips发起攻击的响应时间变得非常高,然后下降(虽然攻击不成功,但是在一段时间内响应时间非常高),但是当发生攻击从一个IP地址的响应时间永远不会变高,这是非常低的。 我真的很惊讶,我不希望这种行为,因为赞成synproxy 的行为,它应该对两个行为相同。 你能告诉我为什么发生这种情况吗? 谢谢
我在snort规则很新,所以我找不到下面的规则。 当tcp数据包来自外部networking和任何端口到家庭networking和端口3389时,这个规则发送警报? 只是检查端口,IP协议? 如果是的话,我认为它不能检测rdp dos攻击,因为当一个普通的rdp连接想要build立这个规则发送警报。 alert tcp $EXTERNAL_NET any -> $HOME_NET 3389 (msg:"OS-WINDOWS Microsoft Windows RemoteDesktop connect-initial pdu remote code execution attempt"; sid:21619; gid:3; rev:5; classtype:attempted-admin; reference:cve,2012-0002; reference:url,technet.microsoft.com/en-us/security/bulletin/ms12-020; metadata: engine shared, soid 3|21619, service rdp, policy balanced-ips drop, policy security-ips drop, policy max-detect-ips drop;)
我使用本指南在Apache/2.4.18上设置了mod_evasive : https : mod_evasive 我只将[email protected]更改为root@localhost 。 我第一次使用test.pl它工作,但每剩余时间它只显示HTTP/1.1 400 Bad Request 。 我不确定是否意外地改变了什么,但是这里是我的test.pl #!/usr/bin/perl # test.pl: small script to test mod_dosevasive's effectiveness use IO::Socket; use strict; for(0..100) { my($response); my($SOCKET) = new IO::Socket::INET( Proto => "tcp", PeerAddr=> "127.0.0.1:80"); if (! defined $SOCKET) { die $!; } print $SOCKET "GET /?$_ HTTP/1.0\n\n"; $response = <$SOCKET>; print […]
我发现来自10个不同的IP地址,具有相同的子网46.229.168.0/23我的networking服务器的奇怪的连接。 这个子网属于一个托pipe服务提供商,很难代表真正的用户。 之后,我通过iptables阻止了他们。 我试图了解我是否被DDOS攻击? 我跑了: iptables -L -v -n 并得到以下输出: Chain INPUT (policy ACCEPT 2141K packets, 1607M bytes) pkts bytes target prot opt in out source destination 158K 9369K DROP tcp — * * 46.229.168.0/23 0.0.0.0/0 tcp dpt:80 9369K – 包被丢弃了24小时。 这是否足以说这是一个DDOS攻击?
我有DDoS攻击和蛮力,我的客户只来自一个拉美国家,我没有发现来自该国的攻击,所以我认为我的解决办法是find一种方法来阻止来自除所有国家我的客户,但我找不到任何正确的信息,请帮助。
我的服务器被SSHguard导致SSHguard超载,它不能够快速添加规则。 因此,像这样的行被写入控制台: ipfw: ipfw_install_state: add parent failed 我查看了tcpdump输出,并确定了一些IP数据包以过高的速率发送数据包,并添加了我期望阻止它们的ipfw规则。 但是,它看起来像ipfw完全忽略规则。 这是我在我的ipfw.rules的开始: # Flush all rules before we begin. ipfw -q -f flush # Set rules command prefix cmd="ipfw -q add " # interface name of NIC attached to Internet if0="re0" $cmd 00002 deny all from 173.68.0.0/16 to any via $if0 这是我希望被阻止的一些stream量(我的域名在这里被编辑): 11:37:13.044882 IP pool-173-68-25-180.nycmny.fios.verizon.net.32833 > example.com.domain: […]
我正在寻找在HAProxy服务器后面运行Docker Swarm来正确路由域名。 我有几个问题,因为负载平衡器是一个单一的故障点,关于使用一个负载平衡器的可行性。 DDoS攻击在很大程度上不会影响负载均衡器,因为所有stream量都会传递给其他计算机进行处理? 如何防止针对负载平衡器的DDoS攻击 如果负载平衡器确实下降,可以做些什么? 因此切断所有公众进入docker群的工人 对于高可用性的全部想法,我真的很陌生,如果有人能提供一些信息,我会很喜欢它。 或者也许有这样的服务,这会更好地使用,而不是使自己的。 谢谢,
我最近被告知要pipe理我们的交换服务器,因为负责人没有得到正当的警告。 我几乎没有这方面的经验,但是一切都运行平稳几个月。 我们的主机提供商给我发了这个消息: We observed machines under your control participating in a DDoS attack targeting Google IPs. The attack was a UDP amplification flood. Your participating machines are listed below, along with the start and stop times in UTC and their approximate bandwidth during that time. 'Server Name' +—————–+———-+——————+——————+——+ | reflector ip | protocol | […]
我正在编写一个无服务器的公共API。 用户只能使用我自己的terminal进行通信(例如云function)。 整个过程不仅对我来说是无服务器的,而且对于用户来说,他们也能够在客户端立即使用API。 有什么策略可以用来防止我的使用账单跳上天空吗?