我的一台服务器正在进行DOS操作 – 在CLOSE_WAIT状态下有大量连接阻止合法用户连接到系统。 那么有什么办法可以closuresCLOSE_WAIT连接而不会造成底层的服务器进程? 杀死这个过程会导致我想避免的停机时间。 有没有其他的方法?
我们需要知道如果一个stream氓演员DDOS我们的生产网站之一,所以我想要旋转几个VPS与networking应用程序,以便我可以模拟DDOS与他们在线压力testing服务。 我们有一个专用服务器,但是当我问我是否可以使用DDOS时,我收到了托pipe公司的回应: 我问了一个知名的VPS提供商,如果我可以启动一个VPS,然后DDOS,但他们回答说: 目前我正在等待AWS支持的回应,但是我的期望不是很高,他们现在可以允许。 如果没有托pipe公司让我DDOS服务器在他们的networking上,我如何testing我们的DDOS响应策略?
在过去的几天里,我遇到了很多问题,我只能把它描述成一个巨大的DDoS攻击,一个CENTOS VPS服务器只能托pipe一个网站。 网站真的很慢,但不会在任何时候下线。 我正在运行cloudflare,它说,在过去的24小时内,已经有664k的8k威胁请求停止了! 最大的威胁来源是美国在过去24小时内有5k个请求。 问题是美国是我们的主要客户,所以我们不能阻止美国走出去。 现在,VPS由一家几乎没有任何帮助的公司pipe理。 我已经在cloudflare上启用了“under-attack”模式,但这不是一个长期的事情。 托pipe公司声明:“日志对我们没有任何意义,因为它已经通过了cloudflare”,并且还指出“我们不能阻止任何IP,因为我们将阻止云雾” 自从我们注意到以来,我一直在不断的攻击,并且一直如此。 任何想法,我可以做什么,以减轻这一点?
我想知道是否有人可以帮我解决这个问题。 我们只有通过https://端口443才能使用的web服务。 使用netstat我看到有特定的ip试图连接到服务器。 例如,所有其他连接从服务器的端口连接到服务器的443端口(正常的https行为)。 这个特定的ip:192.0.73.2尝试打开从远程端口443到本地端口的连接。 (它的状态总是TIME_WAIT,它会消失,然后会在TIME_WAIT后一分钟左右回来。 我在公开报告这个IP,因为它已经在这里报告: https : //www.abuseipdb.com/check/192.0.73.2 有一个CISCO防火墙保护公司networking,我的系统pipe理员告诉我,他找不到从该IP到服务器的任何命中。 但是netstat工具会报告。 你能给我提供什么build议吗? 或者告诉我发生了什么事? 谢谢! 这就是netstat命令显示的内容: Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 server_ip:32884 192.0.73.2:443 TIME_WAIT tcp6 0 69000 server_ip:443 remote_ip:65045 ESTABLISHED tcp6 0 0 server_ip:443 remote_ip:20467 TIME_WAIT tcp6 0 0 server_ip:443 remote_ip:55430 TIME_WAIT tcp6 […]
我收到来自葡萄牙和巴西的大量stream量,而不是我们的服务器上的普通用户,并且在1分钟的TCP转储运行Wireshark之后,几乎所有的请求(在1分钟内总共接近10兆,并且有5个stream量在过去的12个小时)来自葡萄牙和巴西(尽pipe有一些不同的IP)。 我不想更新10个不同的htaccess文件。 是否有可能在界面层面上阻止它。 Ubuntu服务器8.04 LTS
66.65.71.240 – – [05/Aug/2011:21:56:09 -0700] "GET /api/account_verify?accesstoken=k198nrtc7flswo6qhimuv5pd0 HTTP/1.1" 500 2334 "-" "Geolo 1.0 rv:18 (iPhone; iPhone OS 4.3; en_US)" "at:-" "dt:-" secure 220.128.111.225 – – [05/Aug/2011:21:56:11 -0700] "GET /api/account_verify?accesstoken=dv8asg0lwh2m1iu95bo3y6cjt HTTP/1.1" 500 2334 "-" "Geolo 1.0 rv:18 (iPhone; iPhone OS 4.3.3; en_SG)" "at:-" "dt:-" secure 124.171.7.154 – – [05/Aug/2011:21:56:13 -0700] "GET /api/account_verify?accesstoken=apu4q0sxtejni76z58ykwdrgl HTTP/1.1" 500 2334 "-" […]
我们的networking服务器(Nginx,MySQL,PHP)目前正在被DDOS攻击。 传出stream量是正常的(平均563 kb /秒),但传入的stream量是吃我们的1gbit端口(平均800Mb /秒)。 在Nginx的访问日志中,我注意到一个POST请求到一个499的错误来自10-15个唯一的IP地址,一直到已经安装的支持票务系统(/support/index.php – 正在运行OSTicket)。 我在iptables中阻止了这些IP上的INPUT / OUTPUT。 我不认为这做了什么,但它是奇怪的,考虑到这些IP几秒钟重复POST请求。 如何查明有问题的IP并阻止它们发送大量传入的请求? 编辑:这是打印输出的iptables -L -v http://pastebin.com/cyGLKJh4
我有一个随机的随机端口被closures的随机数据包泛滥。 我的服务器响应这个tcp-reset数据包,我认为这也是嚼出站带宽。 我如何使用iptables来阻止tcp-reset数据包?
我注意到了VPS Debian Squeeze上的一些变化,并查看了history以查看运行的命令。 然后我发现了一些我100%确定我没有跑,因为我不知道他们是什么。 有人运行一些怀疑是黑客东西的工具。 看看这些命令: gcc .ssyn.c -o ssyn gcc .ssyn.c -lpthread -o ssyn ./ssyn someIP 52521 10 -1 600 gcc .slow.c -lpthread -o .slowloris ./.slowloris http://phplens.com/lens/php-book/optimizin g-debugging-php.php 10 rien.txt 600 我已经search谷歌,但我不知道什么,我害怕,我以前不关心安全。 这些工具是什么? 如何保护?
我的服务器的CPU在过去几天一直在增长,直到它降低了请求。 我一直在查看日志,看到日志中的某些IP只是简单地下载我的网站的内容,如.js,.css。 图像文件等。一遍又一遍。 知识产权通常在中国。 我也看到他们的其他请求试图find服务器上不存在的文件。 喜欢 www.example.com/lawson-consultant-in-independence/ 要么 /劳森-显影剂在英镑-高度/ 这些地址与我们的网站无关。 我试图阻止第一个IP,但它看起来像现在通过许多不同的IP。 我认为这是什么使我的CPU秒杀。 我的问题是,如何防止这种types的事情发生? 我怎样才能保持我的网站运行和可用? 当时我正在研究如何阻止那些在一定时间内发送太多请求的人,但是我不想意外地阻止BingBot,GoogleBot和其他蜘蛛。 在这种情况下,人们做什么来防止这种types的攻击? 如果是攻击?