我正在将一些应用程序从Apache 1.3迁移到2.2。 我们曾经运行一些testing,攻击者打开一些HTTP连接到我们的服务器,什么都不做。 Apache 1.3会logging以下408个代码,例如: 126.1.86.85 – – [01/Dec/2010:06:26:19 +0000] "-" 408 – "-" 0 126.1.86.85 – – [01/Dec/2010:06:26:19 +0000] "-" 408 – "-" 0 但是在Apache 2.2中,没有任何东西被logging到日志文件中。 我使用netcat运行相同的testing来打开连接: $ nc IP_victim PORT_victim $ nc 10.42.37.3 80 我想让Apache 2.2将相同的408代码logging到日志文件中,以便我们知道从外部尝试的DoS攻击。 在Apache 2中是否需要更多configuration来启用此function? 我尝试了一些不同的configuration,例如LogLevel = Debug, Timeout 30, RequestReadTimeout header=10 body=30. 谢谢。
所以,看起来大约有两个IP地址通过UDP将我的HTTP服务器(apache)重载,我无法使用IP表来阻止这个。 我正在使用CentOS 5.我设法阻止了一些其他IP地址过载TCP,但似乎无法停止UDP。 我已经缩小了违者使用UDP连接连接到随机端口,但在iptables中的以下条目不起作用: -A INPUT -s <offending IP> -p udp -j DROP 任何人都可以提供一些build议,我做错了什么? 更新:我注意到,所有违规的传入连接是从端口53,所以下面,它似乎工作: -A INPUT -s <offending IP> -p udp –dport 53 -j REJECT
我会很精确的计算/公式如何计算多less个SYN数据包可以发送每1Mbit带宽: 1)什么是一个SYN-Packet的大小(以字节为单位)= 20字节? http://de.wikipedia.org/w/index.php?title=Datei:TCP_Header.svg&filetimestamp=20070706210301这是正确的,第一个五行,heach有4个字节= 20字节的总数? 还有更正确的是,不需要有效载荷,只有包含标题的数据包才是有效的。 2.)为了得到有效的结果,是否有效地划分1Mbit /每个Syn的字节数? (1000 000/8/20 ==> 6250 SYN每秒???) 3.)还是有其他限制因素会大大减less每1Mbit的SYN数据包数量? (所以计算出来的数字在实践中要低得多)。这是什么限制了这个数字? 4.)是否有任何“必须知道”的工具来保护我的服务器免受Syn Attacks(linux / debian)的攻击。 我已经在iptables中实现了一些基本的东西,但不知道这是否真的有帮助…更好的过滤“前端/网关”服务器? 什么商业产品提供SYN-洪水过滤,如果你可以命名一些具体的产品,我会感谢。 谢谢Jan
我的服务器目前正在被一个大的DoS攻击,不得不离开Apache并把所有东西都推送到Nginx上(重写是一场噩梦!)。 来自访问日志的示例: 186.92.86.149 – – [30/Nov/2011:09:49:40 -0500] "GET /boards/search.php HTTP/1.0" 404 169 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US)" "-" 187.131.200.33 – – [30/Nov/2011:09:49:40 -0500] "POST /boards/search.php HTTP/1.0" 413 199 "http://rol.ru" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.3a) Gecko/20030105 Phoenix/0.5" "-" 189.72.198.227 – – [30/Nov/2011:09:49:40 -0500] "GET /boards/search.php HTTP/1.0" 500 193 "-" "Mozilla/5.0 […]
我的一台服务器在几天前遭到了DDoS的攻击,持续了4天。 以下是请求的日志片段: 36.224.180.253 – – [14/May/2013:03:11:46 +0800] "GET //?f5b2fd2f860dc=9597624054932145 HTTP/1.1" 301 178 "-" "Opera/9.80 (Windows NT 6.1; WOW64) Presto/2.12.388 Version/12.14" 36.224.180.253 – – [14/May/2013:03:11:50 +0800] "GET //?d69e553a2e8cc=8383534686131949 HTTP/1.1" 301 178 "-" "Opera/9.80 (Windows NT 6.1; WOW64) Presto/2.12.388 Version/12.14" 36.224.180.253 – – [14/May/2013:03:11:53 +0800] "GET //?cd28bceecb2f7=8014028628342069 HTTP/1.1" 301 178 "-" "Opera/9.80 (Windows NT 6.1; WOW64) Presto/2.12.388 […]
我的服务受到似乎是相当多计算机的僵尸networking的攻击。 由于我所有的服务器都有额外的IP地址,而且我的主机提供商允许我通过在他们的网站上的网页控制面板上点击一下鼠标就可以空出我的IP地址来缓解DDoS攻击,所以我需要一些关于我的步骤为了确保服务器的主IP地址是空的,服务器可以通过其他IP访问? 那些是Ubuntu服务器。 我在哪里configuration在Ubuntu的额外的IP? 我是否需要在DNS中将附加IP设置为“A”logging? 任何宕机时间预计何时空路由,还有什么我需要做的? 问候!
有没有一种方法可以监控指定端口上的Skype连接尝试次数,如果在特定的时间限制内打破某个阈值,dynamic防火墙就会自动防火墙closures – 在Windows 7中? 在Linux上,虽然有点粗糙,但我知道可以使用wireshark或nstat并输出到一个文件,然后cron一个工作来grep通过,然后parsing数据的尝试连接数到指定的端口,添加一个防火墙规则iptables,然后截断日志文件的下一个迭代,我都设置。 我有点在Windows 7上如何去这个或类似的东西丢失。 我试图解决的情况是,我有几个用户需要Skype访问。 将Skype用户名parsing为IP非常简单,这导致他们的机器有时被DDOS'd。 虽然我知道我可以在完全成熟的ASA或类似设备上进行上游操作,但是出于各种networking原因,我试图find可以在用户计算机上实现的解决scheme。 白名单和阻止其他人不是一个选项。 感谢您的任何意见或想法。
我一直在使用随机IP和端口来获取这些UDP洪水。 randomip:randomport -> myip:randomport 0字节有效载荷 由于某些原因,它使用了大量的CPU。 这里是perf top -e cycles:k的结果perf top -e cycles:k 。 有没有什么办法来优化内核? 10.42% [kernel] [k] inet_getpeer 7.59% [kernel] [k] inet_getpeer.part.4 6.15% [kernel] [k] peer_avl_rebalance.isra.2 3.38% [kernel] [k] fib_table_lookup 2.77% [ip_tables] [k] ipt_do_table 1.98% [e1000e] [k] e1000_clean_rx_irq 1.82% [kernel] [k] md5_transform 1.69% [kernel] [k] __ip_route_output_key 1.36% [kernel] [k] check_leaf.isra.7 1.34% [kernel] [k] __udp4_lib_lookup […]
有什么软件工具的Windows服务器(与IIS安装),我可以设置“规则”阻止传入的HTTP请求的可疑行为? 比方说,如果有人开始扫描我的网站的URL“/ wp-admin /”或“/ phpmyadmin /”或类似的 – 我可以阻止这些IP地址(永久或临时)? PS。 不是像Cloudflare CDN服务,需要一个自我托pipe的东西… PPS。 我发现所有的“dynamicIP限制”模块的IIS阻止一个IP地址,当它启动DDoSing服务器数以千计的请求,但我想要一个更灵活的解决scheme。
在最近对Dyn服务器的DDoS攻击中,很多网站在一段时间内无法访问。 但是,这些网站可以通过Google的公共DNS服务器解决。 我认为自上次检查以来,IP地址被caching了一段TTL时间,这是由域名所有者通过Dynconfiguration的,是否正确? 如果是这样,是否意味着如果有人会使用Google的公共DNS冲洗caching工具来冲洗twitter.com,那么在Dyn停机期间使用Google公共DNS作为备份来解决该域名的每个人都无法使用它?