我今天面临一个大问题。 我的网站很慢。 我已经尝试了一切,没有任何帮助。 我禁用MySQL和我的网站仍然加载一个静态页面。 我也重新启动了服务器。 我也禁用Apache,并试图用yum更新一些东西,并且还testing了lynx -dump test.com,并且花费大量的时间来做转储。 在执行这个命令之后 netstat -an | grep ESTABLISHED 我有很多这样的联系 udp 0 0 here.my.ip.number:52644 ip.109.188.1:53 ESTABLISHED udp 0 0 here.my.ip.number:52782 ip.109.188.1:53 ESTABLISHED udp 0 0 here.my.ip.number:53573 ip.109.188.1:53 ESTABLISHED 我认为这个ip是我试图阻止使用iptables的攻击者 / sbin / iptables -I INPUT -s ip.109.188.1 -j DROP 但是当我使用netstat的时候我仍然可以看到它。 每次我重新启动Apache进程填满真的很快,但内存是好的,我仍然有2GB免费,但大约200睡眠过程。 请帮助我的任何人,我的网站已经停了好几个小时,这让我疯狂,我的主机Godaddy不能帮助我。 他们说这是我的数据库。 我正在使用VPS和centos 5。
我们今天在客户的一个网站上发生了一个有趣的故障。 无处不在,该网站无法访问。 该网站运行在一个专门的物理Windows 2003 R2服务器(可能是矫枉过正,我知道,但这是一个讨论的另一天)。 重新启动IIS和ColdFusion应用程序服务后,问题又回来了几次。 我最初的想法是,这是一个DNS问题,偶尔会发生 – 最后一次发生在飓风桑迪之后,当我们的ISP退出时,我们不得不进行一些networkingconfiguration更改。 但是,这不是一个DNS问题。 我的第二个想法是,这是一个DDOS攻击,但是,没有什么理由要把这个网站closures。 当我们打电话给我们的ISP时,另一端的运营商注意到stream量显着增加。 事实certificate,客户端无意中在网站上造成了一个DDOS,他们在FTP上传了一个非常大的video文件,然后通过电子邮件向其发送了一个链接。 数百人点击链接,把网站跪在地上。 我主要是一个网站程序员,但我经常不得不贡献服务器pipe理有时。 可悲的是,我是常驻ColdFusion和IIS专家,但我对这个问题没有太多的经验。 我可以采取什么样的基本措施来防止将来发生这种情况,因为我们无法控制客户端发送到网站的文件。 以下是我的一些想法,但我不确定这种影响: 限制IIS中的连接数。 将媒体文件放在一个单独的服务器(如亚马逊网站等)。 此types的文件请求目前位于服务器脚本后面(例如,/www.site.com/viewFile.cfm?fileId=1424545,其中fileId引用了远离webroot的文件),并logging请求,并将文件推送到浏览器CFCONTENT。 我可以编辑这个脚本来拒绝在给定的时间范围内超过一定数量的请求(即一个小时内可以全局访问5MB)。 这可能会导致一些用户的挫折,但是,如果数百名用户试图查看该文件,那么该网站将会像今天一样崩溃,这更令人沮丧,因为没有“漂亮”的信息来解释为什么他们无法访问该文件。 更新请求在ColdFusion Administrator中调整设置。 Maximum number of simultaneous Template requests目前设置为20.我可以减less这个数字为5,只是为了防止这样的事情发生,但这可能会对正常使用的网站有不利影响。 我愿意接受任何build议,因为我正在继续研究,向最佳scheme的首席技术官报告,以便我们能够实施一个解决scheme。 谢谢。 更新:中断时间的使用情况报告:
假设我有以下规则: iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -A INPUT -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m conntrack –ctstate NEW -m tcp –dport 22 -m recent –set –name counting1 –rsource iptables -A INPUT -m recent –update –seconds 60 –hitcount 2 –name counting1 –rsource -j […]
我正在开发一些使用SDN的dynamic安全策略,其中之一就是networking应该如何应对DDoS攻击检测。 所以,我想testing我的策略,但是我在使用mininet拓扑重新创build攻击时遇到一些问题。 有没有关于如何用mininet模拟DDoS攻击的文档?
我有一个问题是这个问题的延伸: AWS安全组不足以作为防火墙的例子? 。 最初,这个问题的答案对我来说是有意义的,而且我正在假定作为AWS安全组的防火墙对于我的应用程序基础架构来说已经足够好了(具有公共/专用子网+互联网网关+ NAT设备的AWS VPC +弹性负载平衡器)。 但是,今天早上,当我醒来检查我的服务器日志,我看到我收到了约。 一千个垃圾邮件GET请求过夜到不存在的path,从而导致从我的服务器404响应。 请求不断,并没有停止的迹象。 请求的IP地址是不同的,但在一个特定的范围内。 因此,我更新了Elastic Load Balancer上的networkingACL入站规则,并添加了一个拒绝对该范围内的IP地址的访问。 在这一点上,请求停止击中我的应用程序服务器。 我不知道攻击者是否试图阻止我,或者这只是标准的垃圾邮件。 自从我的系统上线以来,在过去的几个星期里,我每隔几小时就会收到类似这样的请求,但这些请求的数量/频率是我从未见过的。 我对服务器操作相对较新。 我很高兴能够阻止攻击继续加载我的应用程序服务器,但是我想知道是否有一个Web应用程序防火墙(实现为WAF三明治:Load Balancer-WAF-Load Balancer)如果整个情况都会照顾好我的话。 由于我是这个领域的新手,当我在这里阅读不同WAF产品的产品营销详情时,我的答案并不清楚: https ://aws.amazon.com/marketplace/search/results/ref=srh_navgno_search_box?page = 1&searchTerms = web +应用程序+防火墙 。 我真的在寻求实用的build议,以确定我是否需要在我的基础架构中使用WAF(即,我实际上不能依赖AWS安全组来保护我的系统免受垃圾邮件/ DDOS的攻击),以及我在产品中需要的基本function。 提前致谢! PS我的应用程序不是build立在SQL上,所以我不担心SQL注入攻击。
为了防止DDOS攻击,我遵循了在Linux机器中将/ proc / sys / net / ipv4 / tcp_syncookies值设置为1的build议,以启用TCP syncookies。 但是,当我看这个url: http : //ckdake.com/content/2007/disadvantages-of-tcp-syn-cookies.html 它告诉我,如果启用tcp_syncookies,那么包括大型窗口pipe理function在内的一半tcpfunction将被禁用,从而可能会降低性能。 我在其他地方读到,syn cookies的部分目的是当更多的数据包进入时,将tcp syn backlog缓冲区扩展到超过其上限(通过/ proc / sys / net / ipv4 / tcp_max_syn_backlog),使数据包不会丢失。 我希望能够禁用syn cookies,这样我就可以充分利用tcp,并使我的服务器运行得更快,并且不会再发生DDOS攻击。 我可以很容易地增加同步缓冲区和最大的连接数,但是我认为如果我太高的话,我会耗尽内存。 有没有人有一个很好的替代方法来在沉重的服务器上同步cookies而不会被DDOS攻击? 我想享受TCP的function,并为用户提供非常快的内容。
我们目前有一个受Cloudflare保护的网站,但是我们发现有一处泄漏。 我们的服务器的IP显示在电子邮件标题中,这使得cloudflare在这一点上是没用的。 最近,我们的直接ip遭到了30Gbps的ddos攻击,导致我们的主机无法路由该ip地址并分配一个新的ip地址。 但是由于IP地址仍然被欺骗,他们可以发起另一次攻击。 我们使用Google的SMTP发送电子邮件,所以我们使用的是外部邮件服务器,我该如何解决这个问题? 很多人说我不明白IP地址是不对的,但是如果没有被排除,我们会不断地成为ddos攻击的受害者。
我们正在testing一台CentOS 7机器的DDoS防护,但是在它结束之后,机器上的连接就消失了。 连接的configuration与DDoS攻击之前的configuration完全相同,但入站和出站stream量均未到达服务器。 $ ping ip PING ip (ip): 56 data bytes Request timeout for icmp_seq 0 Request timeout for icmp_seq 1 ^C — ip ping statistics — 3 packets transmitted, 0 packets received, 100.0% packet loss 一个ifconfig返回它应该的。 也很方便知道,我也不能ping通网关。 是的,DNS服务器设置,我不能从服务器本身ping任何IP。 我意识到这不是很多的信息,所以如果你需要更多,我会很乐意添加它。
我想放弃所有的UDP通信(允许其他的一切),同时仍然允许出站UDP通信。 出站stream量主要来自游戏和voip呼叫。 由于ISP(ovh)不会过滤基于UDP的ddos攻击,因此UDPstream量需要被阻止。 他们只能过滤基于TCP的ddos攻击。 这是通过给他们短暂的电话确认的。 这就是说,我需要一种方法来阻止UDP,以避免使用UDP协议的DDOS攻击变得成功,同时仍允许出站stream量。 这将在运行VPN服务器的OVH(OpenVPN TCP端口443)上的VPS服务器上完成。 是否有一套我可以添加到iptables的规则来完成这个?
我以前在我的服务器安装了Wordpress,在DDOS攻击后,我阻止了从.htaccess文件访问xmlrpc.php文件: <Files "xmlrpc.php"> Order allow,deny Deny from all </Files> 最近,我卸载Wordpress,但仍然有缺席文件的要求。 我的error.log充满了: [Tue Dec 06 15:30:20 2016] [error] [client 163.172.160.205] client denied by server configuration: /var/www/myserver.com/xmlrpc.php [Tue Dec 06 15:30:20 2016] [error] [client 212.47.231.34] client denied by server configuration: /var/www/myserver.com/xmlrpc.php [Tue Dec 06 15:30:20 2016] [error] [client 163.172.143.0] client denied by server configuration: /var/www/myserver.com/xmlrpc.php [Tue Dec […]