我怎么知道短时间内有很多请求来自DoS攻击,而不是来自正常的浏览器请求?
我在这里有一些联赛(我们是一个相当小的公司,我是一个软件开发者,在需要的时候做系统pipe理员),但是我想在我们之前,我会问ServerFault的聪明人关于我的问题。呼吁我们的第三方IT支持公司。 目前我们正在经历一个巨大的stream量飙升,类似于我们在十月份经历的一次高峰,而这一点本身就消失了。 如果你会看到我们的ISP的互联网使用情况监视器: 你会注意到,在过去的2.5天里,我们已经使我们的ADSL2(〜20Mbps)连接最大化了。 具有讽刺意味的是,那一天是澳大利亚的一天(公众假期)。 我们拥有一台Fortinet Fortigate Internet设备,可以实现我们的日志logging和互联网连接。 以下是我们使用的快照:昨天这个: 今天这个: 直到我们昨天早上抵达办公室时,你会发现这个连接已经完全超越了,然后它变得非常好(比平时要高很多,因为你可以从Internode每月的历史图像中收集),直到我们离开然后再次开始100%的使用。 最后,在11点左右的节间里终于封锁了我们(奇怪,因为过去两天我们已经超过了我们的限制)。 我们订阅了FAMS,Fortinet的在线日志和报告服务。 我们也有我们的Fortigate出口我们的日志到系统日志服务器。 我已经看过FAMS,这是目标日志的顶级服务使用情况: 正如你所看到的,那里只有大约8或9个logging,这对我们来说是正常的,至less在我们已经使用Internodelogin的167gb附近是没有的。 这使我感到困惑 – 显然,Fortigate设备具有某种stream量日志,因为它的利用率快照在那里,但是在详细日志中(syslog没有显示太多,但是我不知道如何parsing它们有效率的方式,我只是看着他们stream入)没有任何东西。 我的问题是,任何想法可能是什么样的stream量? 我想也许Fortigate不会打扰logging某些types的stream量(ICMP?),我们正在通过这种types的stream量DOS'ed。 我应该提到我们有可公开访问的密码保护的URL,但是我们的上传并不包含在我们的配额中,所以我不这么认为。 任何提示,我应该看看? 或者我应该只是打大炮(或者等到上一次消失…) 编辑:这是从FAMS的另一个报告,这一个去networking请求,我相信,不幸的是我不能得到一个跨所有端口的报告:
我们公司的主要业主(Telecon集团)希望我们部署Anti-DDoS机制,比如Arbour Pravail,这是个好主意。 虽然…我有一个问题…如果我们的主要ISP骨干提供商没有反DDoS机制,意味着我们得到了Arbour Pravail没有意义? DDoS攻击可以使DDoS攻击的唯一目标IP或整个networking受到损害吗? 问候,
我只想允许来自CloudFlare的HTTP(S)stream量。 这样攻击者不能直接攻击服务器。 我知道CloudFlare不是主要的DDoS缓和器,但是我想尝试它。 我目前只能访问iptables(仅限ipv4),但会尽快安装ip6tables。 我只需要尽快修复。 (我们正在(D)DoSed atm。) 我在想这样的事情: iptables -I INPUT -s <CloudFlare IP> –dport 80 -j ACCEPT iptables -I INPUT -s <CloudFlare IP> –dport 443 -j ACCEPT iptables -I INPUT -p tcp –dport 80 -j DROP iptables -I INPUT -p tcp –dport 443 -j DROP 我知道CloudFlare有多个IP,但只是一个例子。 这是正确的吗?
我有一个网站在过去一个月里每天都有一个DDOS同时被攻击,花了一个月的时间研究和查明bug后,我们制定了一个bash脚本,如果连接在一分钟内达到80+那么IP被禁止并被放入IPTABLES。 这工作了两天,我觉得我终于解决了这个问题。 但是,唉,现在这个人发送多个IP只有一个连接(审查输出在这里http://pastebin.com/7AJqBfJa )。 这就像使用一个IP每分钟发送150个连接一样,将站点closures。 这当然是一个完全不同的方法,当涉及到防止DDOS,我正在寻求大师的帮助和任何足够好的照顾,给一些build议。 在这一点上,我对如何解决这个问题感到茫然,任何帮助将不胜感激。
通常情况下,当你投入资金来保护自己免受一些可能的威胁时,你应该考虑两个因素: 问题实际发生的概率( p ) 如果发生这个问题,那么多less钱( m )会花费你 乘以这两个数字( p*m ),就可以大致了解投入多less钱来保护自己。 当然事情比较复杂,但这会给你一个粗略的估计。 难点在于对这些数字进行合理的估计。 评估中必须考虑很多因素,而且大多数因素都会因公司而异。 例如,一个非常明显的公司将比其他公司更有可能被攻击。 一个在竞争激烈的环境中工作的公司将不会成为竞争对手的竞争对手; 等等。总之,你的里程可能会有所不同。 但是有几个因素对于每个人来说都差不多: 发起1 Gbps DDoS攻击有多容易/复杂? 10 Gbps的攻击? 100 Gbps的攻击? 它是如此便宜/昂贵的呢? 它有多安全/有风险? 什么公司主要针对? 你通常是一次,还是多次? 典型的攻击有多长? 典型的攻击有多强? … 有人可能会争辩说,只有黑客应该知道这些问题的答案。 但我相信我们(系统pipe理员)都应该知道答案:您还有什么可以评估您应该投入DDoS防护的努力和金钱? 谢谢你的帮助。 注意 我的原始文章包括这个故事,以防万一你感兴趣… 我们的公司一直是大规模DDoS攻击的受害者(超过50 Gbps的UDPstream量,在2周内全职)。 我们非常确定这是我们的竞争对手之一,而且我们知道哪一个,因为我们是唯一一个非常大的提案请求中剩下的竞争对手,而且DDoS攻击在我们赢得的那一天神奇地停了下来(双倍的欢呼,办法)! 这些人过去已经certificate,他们是非常不诚实的,但是我们知道他们根本不是技术性的,所以我们相信他们只是付了一些僵尸networking的DDoS服务。 我想知道这些服务通常会花费多less钱,以应对如此大规模的攻击。 请不要给这些服务的任何链接,我真的不想给这些人任何宣传。 我知道一个黑客可以免费做这件事,但是如果我们的竞争对手通过某种僵尸networking服务来支付这种攻击,那么这种攻击的代价是多less? 它真的开始吓倒我(如果我们在这里谈论数千美元,那么我真的会吓坏了:谁知道,他们可能只是有一天会雇用一个打手?)。 当然,我们提出了投诉,但是警方说他们不能做太多的事情(DDoS攻击实际上是难以追查的,所以他们说),我们的怀疑是不足以certificate他们袭击我们的竞争对手的办公室search证据。 为了您的信息,我们现在更改了我们的基础架构以便能够承受这样的攻击:我们现在使用主要的CDN服务,以便我们的服务器不受DDoS攻击的直接影响。 dynamic页面的请求确实代理到我们的服务器,但是在低级别攻击(例如UDP洪水或Syn洪水)期间,我们只接收合法的stream量,所以我们没事。 如果他们决定发起更高层次的攻击(例如HTTP flood或slowloris攻击),大部分的负载应该由CDN处理……至less我希望如此!
当我购买新的服务器时,我很快就会改变我的基础设施。 我将用我的旧服务器硬件(Intel Atom 330,1GB RAM,英特尔Pro服务器MT双千兆网卡)replace我的D-Link DIR-655路由器与pFsense路由器(也许使用655作为AP)。 我的新服务器将基于SandyBridge并运行Apache + Samba。 现在,当我在家里build立这个新的基础设施时,我想尝试DDoS保护,我知道有一些模块和apache的东西让我这样做,但由于我将有一个基于BSD的路由器最好的解决scheme似乎在路由器中设置了一些东西,从而减less了路由器后面的networking硬件。 所以基本上这些背景信息我想问一下,我将如何build立这样一个configuration,是否是最好的解决scheme? 在pFsense中设置DDoS保护是否明智或者Web服务器应该如何处理? 有人会认为尽可能早地放下包装是最好的。 即使我可能不会受到DDoS攻击,最好是安全,然后抱歉。 编辑:我明白,我的服务器可能无法处理严重的DDoS攻击,但通过最大限度地保护,使我的基础设施可以处理一点点大的攻击,然后没有保护我可能会阻止一些脚本小子与小“僵尸networking“从服务器输血。 所以我想要做的就是尽可能的保护软件。 即使不是软件相关的事实,我只使用英特尔Pro服务器nics应提高我的几率,因为他们消耗更less的CPU功率,那么你会看到在平台上的Realtek nics在受损系统。 我不希望有人能够因为没有正确configuration就把系统closures。 但正如前面提到的,我很可能永远不会受到这样的攻击,这主要是因为我想试验我的select。
最近有人决定向我展示一个使用SYN / TCP的新的拒绝服务方法的POC,他计算出来了。 我认为这是完全废话,但在向他解释SYN-SYN / ACK-RST之后,他让我无语了。 他告诉我:“如果你用来欺骗发送SYN / ACK数据包的服务器不能收到RST数据包呢? 我不知道。 他声称,服务器将继续尝试发送SYN / ACK数据包,并且数据包速率将继续增加。 有没有道理呢? 任何人都可以详述吗? 显然,它的工作方式是这样的: 他欺骗SYN数据包的IP到目标的IP。 然后,他将SYN数据包发送给一些随机服务器 当然,他们都用自己的SYN / ACK数据包回复目标IP 正如我们所知,目标响应RST 但不知何故,他保持目标发送RST或保持随机服务器处理它 有了这个,显然服务器将继续尝试发送SYN / ACK数据包,从而产生某种“雪球”效应。
我需要在我的Apache服务器v2.2.22(在Linux机器上)中configurationmod_reqtimeout。 问题是,我完全不知道如何去做。 我在这个链接上检查了这个模块上的Apache站点,但是没有给出明确的下载/configuration细节。 有人可以帮我吗? 任何帮助深表感谢。 基本上: 有什么需要下载? 如果没有,我需要编辑哪些文件,以及如何? 我可以在apache的modules目录中看到一个mod_reqtimeout.so文件。
我需要一点帮助处理ddos。 我在服务器上遇到了1GB的ddos攻击,我不知道如何阻止它。 (1gbs是服务器的最大速度。) 我有以下的iptables规则: iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp –dport 22 -j ACCEPT iptables -A INPUT -p tcp –dport 80 -j ACCEPT iptables -A INPUT -p tcp –dport 8080 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -j DROP 但是使用tcpdump,我可以看到来自端口53的数据包 12:14:40.341410 IP […]