我今天有一个专门的服务器与这些规格: 英特尔Core i5 750,2x120GB(ssd + raid),Windows Server 2008 Web,200Mbpsnetworking,24 Gb DD3 我想知道什么是我可以做的最好的事情,以防止DDoS攻击,因为我知道这将是一个真正的威胁的文件的重要性将被存档在它。 今天我有一个Apache侦听端口80和RDC侦听端口3389.但安全性只能由Windows防火墙制作。 那么,有什么想法可以防止DDoS攻击呢?
iptables -N NEW_TCP_PACKETS_NO_SYN iptables -A INPUT NEW_TCP_PACKETS_NO_SYN -p tcp! –syn -m state –state NEW -m limit –limit 10 / day -j LOG –log-prefix“New packets but not syn:” iptables -A INPUT NEW_TCP_PACKETS_NO_SYN -p tcp! –syn -m状态 – 状态NEW -j DROP iptables -A INPUT NEW_TCP_PACKETS_NO_SYN -f -j DROP 1)我正在用-N选项创build一个新的用户生成链 2)我正在logging不是syn的新数据包,而且我正在添加一个限制,以防止我的日志文件被淹没 3)我丢弃不是SYN的新数据包 4)我正在使用-f,因为我留下了碎片的数据包,我想丢弃这些数据包。 一个build议,以改善类似的东西在这里findhttps://serverfault.com/a/245713/114606 ,这是添加它在-t raw -A PREROUTING […]
有很多文章解释攻击networking服务器(通用或特定)的许多方法,甚至列出了减轻这种攻击的一般规则,例如: 不要接受广告窗口大小不正常的连接 删除发送请求超过X秒的连接 当客户端由于完整的接收窗口而不能接受数据时,在30秒后发送RST或FIN 限制来自同一IP的连接数量 删除多个X重复标题(如Range ) 等等… 是否准备好使用,在特定于web服务器(我们使用Apache和Nginx)或全系统(Linux)的prodconfiguration示例上进行testing,这些示例涵盖了大多数常见攻击?
我的服务器更早closures – 看起来像一个DDoS。 stream量大约13mbit,交换从空闲到最大5分钟左右,服务器停止响应。 我想防止这种攻击,但是我不能确定这个方法。 服务器日志显示没有增加的http连接或使用率,也没有MySQL或邮件使用率高于平常水平。 服务器graphics只显示networking,I / O和内存使用情况的高峰: 内存使用: http : //i.imgur.com/UwGru.gif IO图: http : //i.imgur.com/DVECD.gif 我无法理解这是什么types的攻击。 这可能成为目标,我该如何防范呢? 所有评论感激地收到。
我的客户有一个图像共享网站,每天约有100,000访客,自从今天上午以来,它已经大大减缓,当我检查进程,我已经注意到高CPU使用率从http …. 最佳 top – 20:13:30 up 5:04, 4 users, load average: 4.56, 4.69, 4.59 Tasks: 284 total, 3 running, 281 sleeping, 0 stopped, 0 zombie Cpu(s): 12.1%us, 0.9%sy, 1.7%ni, 69.0%id, 16.4%wa, 0.0%hi, 0.0%si, 0.0%st Mem: 16037152k total, 15875096k used, 162056k free, 360468k buffers Swap: 4194288k total, 888k used, 4193400k free, 14050008k cached PID USER […]
最近我的一台服务器遭到了恶意的ddos攻击。 我有大约12个网站托pipe在服务器上使用基于名称的虚拟主机。 我正在尝试确定哪些虚拟主机受到交通轰炸。 我已经使用了iftop这样的工具,它可以很好地识别消耗大量带宽的主机,还可以使用apachetop来识别单个v主机上正在请求的资源。 我真正需要的是一个工具,它允许我在同一个屏幕上实时查看每个v主机接收的stream量,这样我就可以轻松地看到哪个v主机被定位。 这样的工具是否存在?
自从现在大约两周以来,我们一直在受到攻击,并且尽我们所能去保护新航。 现在mod_reqtimeout正在做这个工作,但我很困惑,因为他们在做什么 我发现这个post服务器在DDOS攻击 – 如何找出IP? 跑了 cut -f 2 -d '"' yourweblog.log|cut -f 2 -d ' '|sort|uniq -c|sort -nr|more 结果是奇怪的 548308 – 4517 / 31794 http://www.mysite.com/ 这是什么 – ? 交通尾巴显示数百个 186.153.249.149 – – [12/Aug/2013:16:31:28 -0500] "-" 408 – "-" "-" 201.240.116.165 – – [12/Aug/2013:16:31:28 -0500] "-" 408 – "-" "-" 201.240.116.165 – – [12/Aug/2013:16:31:28 -0500] […]
我一直在使用自己制作的“iptables规则”来阻止游戏服务器上所有主要types的DDOS攻击,因为这些攻击是针对应用程序/游戏服务器的,而不是一般的DDOS攻击。 我花了差不多3年的时间研究这些攻击,并以这些规则作出回应。 直到现在,我在iptables上使用一个速率限制,如果它达到每秒250次计数,客户端速率远远低于这个速度(最大值就是500kb / s),那么它会自动丢弃IP。 这是因为攻击者通常会发送大量长度为15:30的数据包,因为这是游戏服务器响应良好的通用数据包长度。 这个工作真的很好,直到有人用今天不同的东西来攻击这个规则。 -A INPUT -p udp -m udp –dport 16000:29000 -m recent –set -A INPUT -p udp -m udp –dport 16000:29000 -m recent –update –seconds 1 –hitcount 250 -j DROP 最近,我观察到攻击很容易使1-3mb /秒的input,通过“iftop”看到我的服务器和上述规则没有阻止他们,因为我的游戏服务器响应“….断开”数据包到所有传入的连接。 当游戏服务器不能识别inputstring或数据包的长度时,会发生这种情况。 这是数据包的内容: http://paste.ubuntu.com/6000381/ 现在你也可以看到这个包有很大的长度。 根据Wireshark我抓包的数据包的长度是700和数据大小/长度大约是5000字节。 而我之前也看到过,如果数据包的数据长度/数据量较大,即使数量较less,仍然可以获得更高的速率 。 所以这就解释了为什么它的input是3mb / s左右,而且没有被计数器阻塞,因为它从来没有超过250的计数。 现在我需要一些比带宽更具体的数据包/秒。 我需要一个iptables规则,可以自动阻止大于1mb / s的input,如果需要的话,它可以使用数据包的长度。 公平的游戏服务器客户端的一般数据大小/长度通常具有小于500字节的分组长度和数据大小,但是在某些情况下它可能会更高,但永远不会超过500kb / s的带宽。 这个问题与之前回答的其他问题不同,因为它首先是特定于应用程序的。 […]
所以这里是一个有趣的。 我每天都会在特定的时间获取bingbot请求来终止服务器。 这是请求: “GET / HTTP / 1.1”200 82810“ – ”“Mozilla / 5.0(compatible; bingbot / 2.0; + http:// www。 bing.com/bingbot.htm )“ 我很确定你不能欺骗127.0.0.1,对吧? 我检查了一千次的恶意代码服务器,但我想到了。 search谷歌,没有find多less。 我发现许多人与bingbot欺骗和发送这么多的请求,它会杀死服务器,但不使用127.0.0.1 IP地址。 任何人之前见过或有任何想法?
我们目前有一个非常大的出站DDOS攻击来自我们在Brocade交换机上的一台机器,由PRTG监控。 我正在查看sFlow v5 8传感器,并查看“最高会话者和顶级连接”,但无法制作这些活动圆图的正面或反面。 任何人都可以请阐明如何我可以弄清楚这个stream量来自哪个IP? 谢谢!