我有相当沉重的Web服务器使用: Ubuntu server nginx php-fpm + apc 昨天我的服务器发生了一些奇怪的事情。 它崩溃,并停止响应,并在我重新启动后,网页开始加载非常缓慢,在大多数情况下“请求超时”。 我检查了/var/log/syslog并看到了很多消息,例如: TCP: Possible SYN flooding on port 80. Sending cookies. 页面大约需要2分钟才能在本地加载: time wget -O /dev/null mysite.net –2012-12-21 13:17:15– http://mysite.net/ Resolving ficbook.net… 85.254.49.180 Connecting to mysite.net|85.254.49.180|:80… connected. HTTP request sent, awaiting response… 200 OK Length: 1311 (1.3K) [text/html] Saving to: `/dev/null' 100%[========================================================================================================>] 1,311 –.-K/s in 0s 2012-12-21 […]
我将很快开始运行一个游戏服务器,我想要一个方法来减less拒绝服务攻击的破坏。 我想这样做当有人join游戏他们的IP地址被添加到一个文本文件(可以已经这样做),在发生攻击时,我可以简单地使用文本文件作为白名单,只允许连接到服务器过去join了游戏的IPS。 因此允许之前玩过的任何用户在攻击期间join。 服务器正在运行centOS。 反正有,我可以创build一个脚本,我可以在攻击期间和之后执行启用/禁用保护? 或者任何人都可以提供一个命令,使用iptables或任何它是白名单指定的IP和一个命令,可以从文本文件中的pipe道线路在这种情况下使用。 我对这种事情并不是很有经验。 提前致谢。
在最后的日子里,我的Apache被来自代理的许多连接所攻击。 我已经确定了来源,但不能有效地阻止攻击。 攻击者似乎正在使用幽灵或这个变种攻击我的Apache在80端口。 我安装了nginx和varnish,但不足以支持额外的负载。 我还在iptables中添加了一个规则来丢弃包含string“X-Forwarded-For”的数据包,但不会阻塞所有的代理。 有没有人有build议?
我有一个运行在Ubuntu 10.04 LTS上的1GB-VPS托pipe站点。 我正在使用nginx作为Web服务器。 该网站已经运行了三年的相对稳定的configuration,每个月处理约400万的综合浏览量。 在过去的16个小时里,我一直在看到我认为是一个“温和”的DDoS攻击。 传出stream量已经乘以5,CPU使用率大约增加了三倍。 我在我的nginx日志中看到一个或两个IP每秒同时发送多个请求(每个1-10个)。 这些请求似乎没有去我的url,但我的IP地址直接。 由于我对nginx.conf有一定的了解,因此我在这里设置了一个单独的“默认”服务器模块来捕获这个stream量并logging下来。 我有它设置为logging该stream量,并返回错误代码444。 我也为这个stream量设置了limit_req_zone和limit_conn_zone,尽pipe因为这些是不同的IP发送请求,所以影响不大。 这里是nginx.conf的相关部分: limit_req_zone $binary_remote_addr zone=ddos:25m rate=1r/m; limit_conn_zone $binary_remote_addr zone=blockedfuckers:20m; server { listen 80 default_server; server_name _; access_log /var/log/nginx/a2.log hackers; limit_req zone=ddos nodelay; limit_conn blockedfrakers 1; return 444; } 这个CPU使用率下降了30%左右,但是输出stream量仍然很高,CPU仍然超过了一倍。 出于某种原因,日志显示请求正在发送一个400响应,而不是我试图发送的444。 例如: 109.198.195.28 [12/Mar/2013:22:49:24 -0400], REQLENGTH: 0, STATUS: 400, HTTPHEADER: – 107.199.204.111 [12/Mar/2013:22:49:36 -0400], REQLENGTH: […]
Newroz Telecom(一家ISP)正在为每一个运营的城市使用一个出口节点(或网关)。也就是说,A市的所有用户都共享一个公共IP(当用户访问一个网站显示他们的IP时,相同的结果)。 我有来自这个ISP的用户/用户的DDOS攻击,阻止IP将意味着阻塞整个城市,我怎么能在这样的环境中对抗DDOS? 最好的祝福,
我得到了很多安装在我的apache服务器上的mod_evasive发出的误报。 他们总是发生在大量的PDF文件下载。 当客户端从我的网站下载PDF时,他们使用许多同时触发mod_evasive中的黑名单行为。 有没有办法从mod_evasive跟踪中排除PDF? 我是否使用限制太多的configuration? 我知道每个部署都有所不同,但我正在寻找build议。 我想停止发送403部分下载请求。 这是日志 [Tue Dec 31 09:47:37 2013] [error] [client 70.180.65.28] client denied by server configuration: /srv/netce/Root/pdfs/catalogs/productid_3078.pdf 70.180.65.28 – – [31/Dec/2013:09:47:37 -0800] "GET /3078/Catalog_MD14.pdf HTTP/1.1" 403 1018 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)" 70.180.65.28 – – [31/Dec/2013:09:47:37 -0800] "GET /3078/Catalog_MD14.pdf HTTP/1.1" 206 2560 "-" "Mozilla/5.0 (compatible; […]
我希望在Google Compute Engine上启动共享托pipe服务。 Google基础架构是否内置了任何DDOS缓解function? 这篇文章在这里说了。 “Compute Engine利用Google的全球networking和负载平衡架构,并提供对Google专家安全团队的访问,确保基础架构安全,并能够抵御诸如DDOS攻击等问题。” https://www.cloudsherpas.com.au/partner-google/inside-google-cloud-platform-hosting-computing-power/ 虽然没有其他地方的官方确认。 如果Google已经提供了DDOS缓解措施,那么我需要的额外保护是什么? 谢谢
Lighttpd有问题,因为有人开始使用一些非常好的networking下载器,并且阻止了我的整个网站。 有什么办法来保护Lighttpd免受DDOS攻击和洪水?
由于很多天,也许几个月前,我的一台服务器几乎每天都在崩溃。 有时候,每天多一次。![alt text] [1] 这让我很担心。 我在/ vars / log / messages中的很多行都是这样的: Oct 8 13:36:25 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=33286 DF PROTO=TCP SPT=4957 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0 Oct 8 13:36:25 host kernel: Firewall: *TCP_IN Blocked* IN=eth1 OUT= MAC=00:30:48:63:3b:5d:00:1b:0d:ec:8e:40:08:00 SRC=93.150.204.152 DST=00.000.000.000 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=14135 […]
长话短说我们最近有一个共享主机被盗用的帐户,问题已经解决,但受影响的帐户仍然被垃圾邮件,每天有超过一百万的请求到一个特定的文件。 由于泄密文件不存在,所有的请求都通过Apache的minimalistic 404页面实现,重约521字节。 问题是512bytes * 1M +的请求不仅对我们的服务器性能造成影响,而且是每天浪费带宽。 来自数百个IP因此阻止个人IP的攻击是不可行的。 所有的请求都是对同一个文件的POST请求,我们称之为“evil.php”。 我们试着简单地使用一个RewriteRule,并禁止所有对evil.php的请求,但是这显示了一个被禁止的页面,使我们离开了我们开始的地方。 理想情况下,我们只需要将请求放到“evil.php”,不返回任何内容。 基本上停止响应Apache。 这是可能的和如何? 编辑 为了这个练习,假设没有shell访问,所有的解决scheme都必须通过类似cPanel的接口来实现。 虽然这不是这种情况,但是我们对服务器进行configuration更改的自由度比LAMP堆栈,DNS(绑定)和邮件configuration要小。