我使用Heroku作为我的托pipe解决scheme。 那么,如果一些坏人用DDoS攻击我的网站,我该怎么办?
首先,我明白在数据中心级别上有DDoS防护更好。 但是,我们的区议会还没有准备好提供高质量的保护。 所以我们考虑使用一些外部的DDoS保护服务。 我GOOGLE了几个,像(对不起,不能发布多个链接): http://blockdos.net/ http://www.armoraid.com/ http://www.blacklotus.net/ http://ddosprotection.com/ http://www.level3.com/index.cfm?pageID = 555 总的想法是,你正在改变DNS指向DDoS保护服务。 他们为您过滤stream量,然后将其redirect到您的后端。 所以,它增加了一些小的时间开销,但让你的网站在DDoS下仍然活着。 但在网站上写东西真的很容易。 我的问题是:有没有人有这样的服务经验? 它真的帮助反对DDoS?
我最近发现我的服务器正被用作DNS DDOS的一部分。 基本上,我的BIND设置允许recursion,它被用来利用IP欺骗攻击某个IP地址。 我采取了必要的措施来阻止这一点,并禁用recursion。 我不再是一个放大器,我猜想解决了这个大问题,但是我仍然在接受这个问题,BIND正在回答“拒绝”所有这些问题。 我只是好奇,知道我还能做些什么。 我认为我可能会configurationfail2ban来阻止他们,做类似于Debian的build议 ,但根据其他网站和合理的逻辑,这是不理想的,因为攻击者可以很容易地阻止任何IP访问我的服务器。 那么还有什么可以做的? 或者我应该等待攻击者放弃? 或者希望他们可以重新扫描,并把我作为一个放大器?
所以我得到了一个运行Debian 6.0的专用服务器的滥用投诉 果然,有时候, top显示/usr/bin/host使用大量的CPU没有明显的原因,而netstat显示进程host做了很多的HTTP请求。 之后,我的系统日志甚至说nf_conntrack: table full, dropping packet. ,我认为这件事情有关。 我已经使用debsumsvalidation了可执行文件/usr/bin/host ,似乎也很好。 这样的服务器也是100%更新的。 所以我猜测某事是不知何故调用我的host可执行文件,强迫它做一些DDoS的HTTP请求。 我当然可以在发生这种情况的时候尽快把脚本一起发送给killall host ,但是我真的很想知道问题出在哪里。 我正在检查Apache日志有趣的条目, host开始做它的请求,但还没有发现任何东西。 任何人都有build议,还有什么要做? 我怎样才能看到谁和什么叫'主机'? Google没有显示任何/usr/bin/host被滥用的例子!
最近我读了关于亚马逊和PayPal的拒绝服务攻击。 我很好奇这是如何执行的。 这些大公司必须拥有巨大的服务器,因此DOS需要数十亿台机器人才能访问它。 所以我的问题是 如何在这个级别执行DDOS攻击? 如何预先知道这是攻击事件? 如何防止这一点(如何区分机器人与用户,除了通用的validation码方式)
我已经阅读和理解你能帮我做我的能力计划吗? ,但我不确定我是否明白在DNS服务器scheme中我的下一步是什么。 我认为我的CPU负载很高,或者我可能会开始删除查询,但我想更好地了解我的服务器的负载,然后我采取行动。 这对我来说尤其重要,因为众所周知,将基础架构扩展到DDoS负载正在失去战斗力。 我应该怎样分析才能了解我的环境?
TARPIT可以用来浪费攻击者的资源,从而减缓攻击速度,降低攻击其他主机的能力……看起来不错。 它作为Netfilter 插件提供 ,可以像其他任何IPTables目标一样使用。 在处理(D)DoS的方法中是否存在缺点或漏洞?
我想知道是否可以通过简单的IP表规则来防止小型(D)DoS攻击? 小到我的意思是说,他们正在泛滥我的networking服务器约400多个请求从一个或两个IP地址。 当我注意到他们已经开始点击我的networking服务器时,我可以放弃IP地址,但是通常需要花费几分钟的时间让IP表格反对这个IP,并且完全放弃它,这样它就不会影响该Web服务器。 我用以下命令删除IP: iptables -I INPUT -s "IP HERE" -j DROP 然后显然保存它: /etc/init.d/iptables save 我通常使用以下命令找出攻击的IP地址: netstat -plan|grep :80|awk '{print $5}'|cut -d: -f 1|sort|uniq -c|sort -n 这样做的问题是,我必须在那里,这需要我采取行动。 是否有一个IP表规则,我可以用来删除一个IP地址后,达到150连接? 这样,我不必担心它压倒了Web服务器,我也不必在那里阻止它。 顺便说一下,如果有问题,我在CentOS上使用Apache。 感谢您的时间。
我以为我的服务器与http-guardian是安全的,但显然不是。 一些聪明的屁股不断打我的服务器'保持死',并导致它崩溃。 我已经浏览了日志,但是看不到来自浏览器快速加载繁忙页面上的所有组件的常规访问者的请求。 任何意见将不胜感激。
我已经打开了dns查询日志,并运行“tail -f / var / log / syslog”时,我发现我从单个IP地址获得数百个相同的请求: Apr 7 12:36:13 server17 named[26294]: client 121.12.173.191#10856: query: mydomain.de IN ANY + Apr 7 12:36:13 server17 named[26294]: client 121.12.173.191#44334: query: mydomain.de IN ANY + Apr 7 12:36:13 server17 named[26294]: client 121.12.173.191#15268: query: mydomain.de IN ANY + Apr 7 12:36:13 server17 named[26294]: client 121.12.173.191#59597: query: mydomain.de IN ANY […]