当我在10Gbps的时候遇到DDoS,如果我有拥有10M表项的BGP路由器,我可以在攻击networking上执行search吗? 我会这样做,首先我会删除路由到我的第一/ 8,看看DDoS是否会停止。 然后在完整的32位地址空间上以这种方式searchDDoS的来源。 我对BGP不是很熟悉,不知道它传播了多长时间,这样的search需要多长时间,会有什么影响。 也不知道如果我实际上可以阻止一些networking停止路由给我的IP号码,我从RIPE和阿林下载。 这对于处理欺骗性攻击尤其如此,正常的攻击可以更有效地追踪。 或者我需要多less带宽,并且没有位置可以维持欧洲的任何types的DDoS? 我可以使用基于Route 53延迟的DNS重新路由stream量。 我读到的最近公开的罢工约为13Gbps,20Gbps就够了吗?
我正在写一个有很多恶性竞争对手的Web服务。 像以前一样恶毒:人们在这个舞台上开店几个小时就得到了DDoS。 该服务将包括: 一个网站,您可以注册并检查统计/等…(所有这些都是使用https服务) 一个在端口8000+范围内运行的Web服务。 什么(如果有的话)端口将是最容易攻击和/或closures服务器? Web服务器还是Web服务? 我知道nginx有一些相当不错的DDoS保护,所以我正在调查和负载平衡的网站。 任何build议,以dynamic的DDoS保护与各种其他端口与Linux将不胜感激。
我意识到这个问题的答案会有所不同,这就是为什么我问这个问题。 如果您之前遭受过DDoS攻击 – 它持续多久? 只是想了解我们将持续多久才能进行这场战斗(几个星期后)。
这是环境: 在围墙花园中托pipe论坛/期刊/ bboard /电子邮件/社交媒体应用程序的网站(即您付费使用或被邀请使用 许多客户在特定的时间段(即他们租赁访问网站)支付使用该网站,以便与客户互动。 在广泛的领域有几十个客户。 有一个非常广泛的服务水平协议。 这意味着没有说网站不能超过十分钟,但有一个绅士的协议,它不会。 他们不支付我们给他们的24/7支持,因为我们喜欢我们所做的。 网站在多个时区以7种不同的语言运行。 情况如下: 由于DDOS攻击,该站点以5:30EST的速度下降,并保持“离线”状态约两个小时。 客户的反应从愤怒到愤怒。 客户也不是很技术精明。 客户习惯24/7支持,并且通常会得到很大的支持。 这是一个问题: 你有多less要透露客户端的DDOS攻击? 他们想要一个为什么网站出现故障的原因。
有人可以提供我的规则来检测以下攻击: hping3 -S -p 80 –flood –rand-source [target] 因为数据包来自随机源,所以我遇到了规则问题。 我目前的规则是: alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;) 这个规则只能从一个源ip检测。
我试图模拟一个TCP SYN洪水来调整一个Web服务器(计划在AWS上部署)。 我设置了一个'目标'虚拟机,禁用iptables,并从本地“源”计算机(在OUTPUT链中过滤RST)运行hping(hping -p 80 -i u1000 -c 1000 -S destaddr)。 我期望在目标服务器的netstat输出中看到1000个SYN_RECVlogging,但是我只能看到最多256个(每个“源”计算机256个)。 我似乎在“目标”机器上遇到了一些限制,无法find它在哪里。 tcp_max_syn_backlog增加到8096。 任何想法设置这个限制?
我想知道是否有其他人看到类似的现象,我所帮助pipe理的网站正在经历什么。 在过去的两周左右,每天大约10-15次,我们将从一个IP获得数千到数万的请求。 这些知识产权来自世界各地,主要是美国。 他们都使用Firefox修订版52。 以下是我们日志中的一个例子: [06/Apr/2017:11:58:10 -0500] XXX.XXX.XXX.XXX – – "GET / HTTP/1.1" 403 173 "[URL]" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0" 所有这些实例的共同部分是:“WOW64; rv:52.0)Gecko / 20100101 Firefox / 52.0”。 有时操作系统是不同的。 我们每秒获得大约8-10个请求,然后通常会停止(在我们的速率限制器给出错误之后很长时间)。 我已经看到它一次提出了35万个请求。 起初我以为是僵尸networking,因为它一直popup来。 但是你会认为他们会做更多的协同攻击。 然后我钻进来,意识到有时这些访问者会浏览网站,点击文章或者阅读论坛,然后疯狂的请求就会发生。 具体的URI没有任何共同之处。 我在数据库中查找了一些这些攻击的IP,有些甚至是合法的社区贡献者。 我的假设是这是由于浏览器扩展与Firefox 52不兼容导致的,因为它只发生在这个版本上。 stream量似乎并不恶意。 我想知道有没有人看到熟悉的“攻击”,或者是否有人对这个原因有个想法。
我们正在运行相当大的LAMP网站,这些网站可以很好地扩展软件。 我们通过主 – 从 – 从服务器中的代理,在一堆使用MySQL的Web服务器前使用冗余负载均衡器。 我们正在使用一个非常大的美国供应商。 他们不是很便宜,但也不是最昂贵的。 上周在他们的networking上有一个非常大的DDOS,我们的集群受到影响; 我们失去了networking,导致了停机。 使用2个提供者的标准程序是什么(例如,在欧盟和美国有一个)? 我知道如何做软件复制等智慧。 我想知道当美国人倒闭的时候,数据传送到欧盟networking的方式; DNS是唯一的select吗? 如果是,如何设置? 因为当服务器closures时切换DNS似乎太慢了,除非TTL = 0,这意味着我们将使用DNS作为故障切换系统。 我明白(例如从Serverfault),这不是首选的工作方法。 那么接近100%正常运行时间的解决方法是什么(我们的集群已经有了,但networking没有)。 降低1000个请求将会很好,但更多是不好的,不应该发生。
我是一个小型networking的pipe理员。 我们networking中的用户可以通过鱿鱼NAT服务器访问互联网。 最近,我们发现一些用户正在使用LOIC来攻击互联网上的服务器。 如何自动检测并阻止此攻击者? 有没有直接的方式(例如阻塞特殊的端口或模式?)或者我必须使用智能软件来检测用户的不当行为并阻止他们? 临时的基于IP的阻塞对我们来说已经足够了。
所以我有这个运行Windows Server 2008的i7 3.2Ghz六核专用服务器,具有1Gbps的网速。 一切运行良好,机器足够强大,可以处理高达700 Mbps的DoS攻击,非常容易..没有滞后,没有问题.. 我们时常习惯了大规模的攻击,但是一次只有1到2个IP,所以CPU使用率一直很好,直到最近我们发现了一个全新的DDoS攻击等级! 有些人正在淹没非常小的SYN数据包,总计不超过40 Mbps,但是从IP /僵尸networking的数千个数据包。他能够将第一个COR的CPU使用率提高到最大,使得服务器几乎停机,没有响应RDP ..(其他11个Cors是空的,只是令人不寒而栗) 攻击者所瞄准的TCP端口是一个封闭的端口,我认为这只是操作系统(红色的内核),这使得所有的混乱。 我做了一些研究,(不知道)我想也许这个问题是关于IRQ平衡,就像我需要平衡其他空闲核心之间的CPU使用情况.. 无论如何,最大的问题是:是否有可能解决这个问题在Windows本身? 当我的服务器能够在90%的networking使用率之前保持活跃状态时,他将如何以4%的networking使用率杀死我的服务器?! 必须有一个解决这个! 任何人都知道平衡第一个核心来解决这个问题? 请帮助你有什么。