我怎样才能用假的Google机器人阻止DDOS攻击? 我在网上find了两个解决scheme。 但两者似乎也阻止了正确的谷歌机器人。 # Block fake google when it's not coming from their IP range's (A fake googlebot) [F] => Failure RewriteCond %{HTTP:X-FORWARDED-FOR} !^66\.249\.(6[4-9]|[78][0-9]|9[0-5])\. RewriteCond %{HTTP_USER_AGENT} ^Mozilla/5\.0\ \(compatible;\Googlebot/2\.[01];\ \+http://www\.google\.com/bot\.html\)$ [NC] RewriteRule .* – [F,L] # End if match 这是第二个: # Validate Googlebots RewriteCond %{HTTP_USER_AGENT} ^Mozilla/5\.0\ \(compatible;\ Googlebot/2\.[01];\ \+http://www\.google\.com/bot\.html\)$ RewriteCond %{HTTP:Accept} ^\*/\*$ RewriteCond %{HTTP:Accept-Encoding} ="gzip,deflate" RewriteCond […]
在我们的服务器上有一个3-4Gbps的ICMP泛洪,我想知道..我有一个20Gbps的DDoS保护,但是这个testing对ICMP来说似乎是无效的(它很好的阻止了大量的TCP和UDP攻击过去它却因为停机而导致ICMP失败)。 以下是DDoS检测发布的stream量示例: http : //pastebin.com/raw.php? i= MW4gTN1C 问题是,我不知道这是什么样的ICMP数据包。 1-是否只能使用ICMP ECHO(ping数据包)进行这种攻击,或者是否存在可用于此类攻击的其他ICMP数据包types? 因为我没有看到自己能够反映ICMP数据包,除了回显请求。 2 – 我知道build议ICMP保持畅通,像MTU这样的一些东西,那么我应该避免使用什么样的ICMP数据包,或者限制速率(在某些情况下,对于快速networking操作来说,是必不可less的)? 3-现在我要求ICMP在数据中心的核心路由器完全被拒绝(我知道的想法不好,但我需要一个快速的解决scheme,它工作)。 ACL是 0: deny icmp any 104.xxx/29 1: permit ip any any 有没有更好的方法来阻止这种攻击? 你认为只有阻止ICMP回应请求才能摆脱攻击的影响? 总而言之,我试图想出一个ACL,完全过滤潜在危险的ICMP数据包,而不必完全摆脱它。 谢谢
我使用Apache和nginx作为反向代理,使用php5-fpm。 最近一周,我们在nginx的error.log中收到以下错误:上游超时(110连接超时),从上游读取响应头。 这突然发生,没有任何改变,从我们的目的。 当网站变慢时,当我监视存根状态并最终显示504网关错误时,“写入” 总是从0直到30-40上升,而“等待”下降到0.主动连接从大约15 -20至70-80。 大约xx秒后,它回到0-2“写”,18-30“等”之间,并保持这样的状态,直到再次出现怪物。 怎么来的? 1)这可能是由DDoS攻击造成的吗? 2)我的VPS坏邻居? 实际上, grep devices / proc / cgroups显示在同一台服务器上总共应该有205个VPS,如果你可以信任这些数字的话。 我已经尝试了解nginx关于编写的文档,但我不明白。 请用更新的友好条款来解释。 希望你的大师能帮助我。 提前致谢!
我将运行一个服务器来保护区块链networking(许多带有暴露IP的服务器 – 没有域名!)。 在服务器上将只有SSH,Fail2Ban,UFW,MONIT和所需的区块链客户端。 而已。 现在我正在考虑一个(D)DoS攻击,最有可能会在我的知识产权有一天击中。 阻止这种攻击是一回事,但我希望尽可能为我的区块链客户端提供最佳的正常运行时间。 所以我在考虑两个select:closures受攻击的服务器,打开备份服务器,或者为我的服务器购买更多的IP,然后切换IP。 如果“IP交换机”在这种情况下工作,比租用一个或两个备份服务器要便宜。 但我从来没有这样做过,从来没有面对(D)DoS,所以我的经验水平很低。 你怎么看? “IP交换机”工作吗? 编辑 补充想法:攻击者会攻击IP本身,还是攻击IP:PORT? 所以,问题是,可能只是改变blockchain-client的端口并closures被攻击的端口? 或者攻击者是否也可以在任何其他开放端口(如SSH)(如果攻击者执行端口扫描并find正确的SSH端口)执行(D)DoS?
我运行了许多用户共享的shell主机,这个主机经常被DDoS(至less每隔一个月)一次。 所以我想出了一个计划,用VPS同步所有的stream量,这样从互联网上的每个人看来,所有进出的stream量实际上来自VPS。 通过这种方式,我希望能够获得VPS服务的好处,这种服务提供了严格的DDoS过滤/保护级别,而不会在遇到问题时就空路由IP。 所以我build立了一个2个IP的VPS,一个用ssh访问我pipe理,一个用来转发所有stream量。 我正在考虑在两台主机之间build立OpenVPN连接,但我不确定这是否是最好的select。 我不会使用GRE,因为我更喜欢对等stream量进行encryption。 除此之外,对于如何在VPS端设置路由,让所有stream量像代理一样通过,同时只保留一个外部IP地址,我有点朦胧。 任何人都可以指向一些文件的正确方向,或者有一些想法或个人经验?
我们正在完成一个小型数据中心。 我们有一个核心+样条,然后是冗余的TOR开关。 一切基本上都是运行积云的whitebox 10gb交换机; 尽pipe如此,我们将在未来12个月内将内核升级到40GB,但是这会让我们现在进行。 特别是在我们的OpenStack集群中,显然有很多stream量只是东西方stream量。 但是,我们遇到的问题是,我们打算购买的防火墙/ ddos设备的stream量会有多less。 我们计划使用防火墙来处理BGP,dDos以及当然的networking入口和出口防火墙策略。 但是我们根本不知道要计算多less 我已经看到有人使用Internetpipe道来调整整个防火墙的大小,但是这真的是一个误导,因为有些stream量没有看到整个或者退出,而这些stream量可能仍然是防火墙策略。 所以我希望在我之前走过的人对如何规划防火墙有一些忠告。 这里是我们的networking设置…
在AWS上,我有几个专门的服务器进行image processing,他们似乎获得高stream量和失败。 运行时 netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 我得到最活跃的IP是nginx负载平衡器服务器的IP,不应该将stream量路由到这些服务器。 这是否意味着我的服务器以某种方式被利用? 我怎么能告诉什么是stream量的原因,并检查负载平衡服务器(Ubuntu的nginx)?
我们在下面的iptables规则存在于我们的web前端框中以防止IP欺骗: -A INPUT -s 255.0.0.0/8 -j LOG –log-prefix "Spoofed source IP" -A INPUT -s 255.0.0.0/8 -j DROP -A INPUT -s 0.0.0.0/8 -j LOG –log-prefix "Spoofed source IP" -A INPUT -s 0.0.0.0/8 -j DROP 我们现在要添加以下规则来进一步加强IP欺骗防范 -A INPUT -s 224.0.0.0/3 -j LOG –log-prefix "Spoofed source IP" -A INPUT -s 255.0.0.0/8 -j DROP -A INPUT –s 169.254.0.0/16 -j […]
我用下面的configurationconfiguration了mod_evasive 。 我不明白DOSPageCount和DOSSiteCount之间的区别 。 <IfModule mod_evasive20.c> DOSHashTableSize 3097 DOSPageCount 30 DOSSiteCount 80 DOSPageInterval 5 DOSSiteInterval 5 DOSBlockingPeriod 10 </IfModule> 所以我的问题后有多less请求将阻止我的IP?
我们目前遇到了一个问题,那就是拥有许多不同IP地址的人,都属于AWS,每秒钟都在向我们的公共服务器发出很多请求。 用户代理是随机的,没有模式可以用来阻止连接。 我们试图阻止整个AWS的IP范围(工作),但最终打破了我们使用的一些服务(S3上传等)唯一不变的是,引用者总是设置为'google.com',显然我们不希望阻止,因为没有办法从谷歌search访问我们的网站。 有任何想法吗?