我正在运行一个2 GB的ram上的网站。 使用LAMP 每天几个小时(大约3到4个小时),apache就会closures。 加载页面花费的时间太长,大部分时间显示请求超时。 但是其他的端口也可以像ftp也是7778,因为我使用的是kloxo。 我不是服务器专家,但我已经search了一下,做了一些研究,我认为这是一个ddos syn攻击。 我使用了netstat -n | grep :80 | grep SYN |wc -l netstat -n | grep :80 | grep SYN |wc -l netstat -n | grep :80 | grep SYN |wc -l查看syn连接 在攻击期间,它显示了一个3000以上的数字。但是当我的网站恢复正常时,显示的数字大约是100。 所以请帮助我。 并告诉我如何阻止这个真的让我感到厌烦。
我怀疑我的一台服务器已经被攻击了一段时间了。 我的问题是,如何在受到攻击或攻击结束后识别DOS或DDOS攻击?
我的networking服务器(nginx)不断收到这样的请求: 23.244.104.206 – – [15/Jun/2014:21:21:47 -0400] "GET http://ib.adnxs.com/ttj?id=2947236&size=300×250&cb={CACHEBUSTER}&referrer={REFERRER_URL}&pubclick={INSERT_CLICK_TAG} HTTP/1.0" 200 612 "http://www.businessfull.net/?p=8167" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_5; de-de) AppleWebKit/534.15+ (KHTML, like Gecko) Version/5.0.3 Safari/533.19.4" 216.244.65.21 – – [15/Jun/2014:21:21:47 -0400] "GET http://ib.adnxs.com/ttj?id=2583052&referrer=http%3A%2F%2Fwww.excitingflashgames.com%2Fgame%2Frun_chicken_run.html&cb=78488 HTTP/1.0" 200 612 "http://www.excitingflashgames.com/game/run_chicken_run.html" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.2 (KHTML, like Gecko) Ubuntu/11.04 Chromium/15.0.871.0 Chrome/15.0.871.0 Safari/535.2" 有这些请求hunderds,他们导致我的http服务器慢得多。 有什么办法可以阻止这个使用iptables? 奇怪的是,他们正试图访问我甚至不主办的网站。 我认为这将是有用的禁止他们,但我不知道我会怎么做。
我是Linux系统pipe理的新手,我正在尝试使用iptables试图学习如何真正locking一个系统。 而我的一个朋友推荐的一个事实是,有一种方法可以通过Cloudflare传递所有传入的stream量,所以即使攻击者解决了服务器IP,他们仍然不能(D)直接处理它。 这正是他们所说的:“简单地configuration你的服务器iptables只允许来自CloudFlares IP范围的传入连接,然后将其设置为只允许你的IP / IP范围连接端口21(SSH)” 有人可以帮我一下,我需要运行Ubuntu的命令来得到这个效果吗?
目前我的服务器比较差,而且崩溃了。 这是一个专门的服务器,两天来运行良好。 这个命令是做什么的? netstat -n|grep :80|cut -c 45-|cut -f 1 -d ':'|sort|uniq -c|sort -nr|more 这我我得到: 154 76.217.x.xx 11 79.51.xx.xxx 10 174.119.xx.xx 9 201.230.xxx.xxx 8 24.184.xx.xxx 8 127.0.0.1 6 50.51.xxx.xxx 6 216.121.xxx.xxx 4 80.203.xx.xxx 4 24.186.xxx.xxx 4 223.25.xx.xxx 4 119.93.xx.xx IP旁边的数字是什么意思? 这是否意味着连接? 如果是这样的话,那么最顶级的IP就是给我的吗?
我的VPS遭受(D)DoS与欺骗IP进行SYN洪水的困扰。 我现在正在寻找如何能够防御(至less一点)的方法。 它运行一个DirectAdmin apache2networking服务器。 主要用于服务PHP和MySQL。 我们正在使用CloudFlare,这是说,他们能够缓解(D)在一定程度上的DoS,现在攻击者知道我们的真实IP地址,所以CloudFlare没有一点帮助。 我在网上做了一些search,发现了启用SYN cookies来防御它。 我检查了我的设置,似乎一直启用。 我也读过关于Varnish能够防御SYN泛滥和Slowloris攻击的报道,现在我对使用它非常感兴趣。 问题是CloudFlare已经从我们这里caching了很多,我不希望在光油上花费太多的资源。 仅仅为了更好地处理请求而设置清漆是否可行和明智? 有没有更好的方法,我已经错过了? 在此先感谢,马丁
我被一个SYN洪水所击中,几乎杀死了我的ipvs负载平衡器(80K数据包/秒)的networking堆栈。 “ksoftirqd”进程占用了100%的CPU,机器几乎没有响应networking。 一个tcpdump泄露了这样的数据包: 21:24:40.994920 IP 193.41.136.187.17435 > MY-IP.80: Flags [S], seq 3387555840, win 0, length 0 21:24:40.994940 IP 46.159.109.102.63863 > MY-IP.80: Flags [S], seq 4209573888, win 0, length 0 21:24:40.994961 IP 32.199.104.48.30346 > MY-IP.80: Flags [S], seq 512360448, win 0, length 0 除了零窗口大小之外,我无法在洪水中find共同的分母,这可能是过滤的一个钩子。 ksoftirqd的确是瓶颈? 有没有一种方法来过滤之前,它在linux框到达ksoftirqd bottelenck? 如果没有,我如何过滤我的思科6509上的窗口大小== 0? 谢谢!
我在Amazon EC2上运行一个Ubuntu / WordPress服务器,每隔24-48小时出现一次问题:我从EC2收到一个CPU警报,login服务器,发现sshd以99.9%的CPU运行。 这是一个面向公众的WordPress服务器,所以通常情况下,我会假设服务器已经被入侵…除了端口22只对我的IP启用,根login被禁用,密码被禁用,我有唯一的钥匙,最后lastb显示我是唯一loginsshd的用户。 当我杀了违规程序或重新启动服务器,一切正常24-48小时,然后问题再次出现。 任何意见或指针将非常感激,因为我找不到问题。
我有一个令人不安的问题,现在几个星期…我的三个DNS服务器之一(运行bind9作为Plesk DNS主服务器的从服务器)正在发送无谓的DNS请求垃圾邮件。 这些请求的来源IP来自世界各地,所以我不能仅仅通过iptables来丢弃IP范围或整个国家。 这里有几条日志,所以你可以看到这些“攻击”的scheme: 10-May-2015 11:15:54.714 client 120.87.202.161#47441: query: sjgzincrmxobabst.www.luzhiye.com IN A + (my-ip) 10-May-2015 11:15:56.252 client 111.187.196.51#41387: query: mrcf.www.330dp.com IN A + (my-ip) 10-May-2015 11:15:56.806 client 89.90.44.173#56673: query: qzwp.www.330dp.com IN A + (my-ip) 10-May-2015 11:15:57.891 client 116.93.242.237#55721: query: srapafupglkxaver.www.330dp.com IN A + (my-ip) 10-May-2015 11:15:59.611 client 123.153.92.59#20847: query: yj.www.330dp.com IN A + (my-ip) 这些请求并不是真正的攻击,因为主机服务器非常轻松。 […]
我的服务器遭到攻击,似乎是syn洪水,他是欺骗IP的。 sudo netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 返回这个。 … 4 94.144.63.102 5 91.100.45.134 6 62.199.203.97 7 5.175.207.98 7 77.68.246.5 121 87.60.164.123 1920 127.0.0.1 2428 77.66.108.158 现在,我尝试了一切,似乎无法阻止它,似乎是来自数据中心。 我试图单独禁止知识产权,没有用,它继续下去。 我安装了fail2ban和mod_security,我尝试了很多configuration,没有运气,如果我可以降低数量prip约30,但是然后我有200个ip的30请求每个。 现在,我注册了云耀斑,并移动了我的DNS,但我想知道这一点。 我的网站可以通过它的IP访问,现在,我知道cloudflare只是通过他们的DNS路由stream量,但不能他只是泛滥我的服务器IP? 我可以否认所有在Apache的直接IPstream量,或者我应该做些什么来阻止这种攻击? 我是一名软件开发人员,而不是服务器pipe理员。 我使用Apache2运行Debian Jessie,使用Apache2处理请求。 编辑我是100%确定这是一个DDOS,这是一个SYN洪水,我检查,我有大量的SYN等待连接。 我把服务器移到cloudflare后面,改变了IP,它工作。**