我得到了非常奇怪的DDOS攻击,服务器充斥着请求,但问题是,当通过访问日志,即时获取不同的请求到我的服务器上不存在的域和主机,沿着线路: 101.201.47.133 – – [29/May/2016:16:38:11 +0000] "POST http://ifacelog.iqiyi.com/api/vvlog.jsp HTTP/1.1" 200 2 "-" "QIYIVideo/7.4 (iOS;com.qiyi.iphone;iOS8.0.1;iPhone5,4) Corejar" 81.94.192.52 – – [29/May/2016:16:38:11 +0000] "GET http://www.advinapps.com/ads-sync.js?v=1&key=fa7fef2ba4e39c100ef0278e97b68be3&epmads_width=300&epmads_height=250&cIds=&adsCampaignKey=1464568684537&ch=www.economist.com&click=&tz=-13&t=1464568684812&requestUrl=http%3A%2F%2Feconomist.com&flashVer=18.0%20r0&scrWidth=412&scrHeight=659 HTTP/1.1" 200 691 "http://economist.com" "Mozilla/5.0 (iPhone; CPU iPhone OS 8_0 like Mac OS X) AppleWebKit/600.1.3 (KHTML, like Gecko) Version/8.0 Mobile/12A4345d Safari/600.1.4" 172.87.28.13 – – [29/May/2016:16:35:12 +0000] "CONNECT api.paypal.com:443 HTTP/1.0" 503 299 "-" "-" […]
我遇到了一些DDoS问题,尤其是XML-RPC攻击(wordpress),其中成千上万的Wordpress实例攻击我的机器。 我在我的nginx服务器块中有以下内容:if($ http_user_agent〜WordPress){return 444; } 虽然它终止了所有的wordpress连接,但它仍然会超载CPU。 这是我的服务器规格: Ubuntu 16.04 LTS – E3-1230v5,16G DDR4和SSD。 我会假设它能够处理得更多,但似乎并非如此。 我试图使用fail2ban自动阻止wordpress useragent,但是所有似乎要做的就是创build几千个iptables规则,并没有结束。 有没有更好的方法来阻止这种攻击? 谢谢。
我有一个KVM节点,我只运行了7个虚拟机实例。 当启用GigE上行链路端口时,服务器连接以某种方式超过300MBps。 我不能跟踪哪个IP可能被攻击,反之亦然(它出现在Observium是传出尖峰不传入)。 我的问题是netstat没有提供任何信息。 我想知道连接是从哪里来的,无论是在哪个特定的IP,甚至是VM服务器。 我正在KVM节点上运行Centos 6.8 64位。 [root@server ~]# netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n [root@server ~]# netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr 3 xxx.xxx.xxx.xxx […]
我们今天一直在ddos攻击下,一切都从那里开始。 这是我们的设置: 我们使用CloudFlare作为DNS服务(没有caching,只是指向我们的服务器IP,所以这是8) 我们有一个反ddos托pipe,充当反向代理。 Apache 2.2 尝试通过域名加载网站失败与nginx的504超时 。 我100%肯定这个消息来自我们的主机的反向代理,支持人员证实,并说他们在日志中有这样的消息: 2016/08/29 14:47:34 [error] 3658#0:* 51642375上游超时(110:连接超时)连接上游时,client:11.111.11.111,server:,request:“GET / HTTP / 1.1“,上游:” http://12.34.56.78:80/ “;主机:”domain-name.com“ 以下是发生的事情: 由ip直接请求完美,所以12.34.56.78:8080加载该网站。 lynx domain-name.com在从服务器本身执行时加载站点 我尝试laucnhing监听域名的PHP内置服务器,但它没有从外面的工作 我尝试重新启动一些服务(包括命名),并重新启动整个系统 我用这个 ( iptables -P INPUT ACCEPT )来允许所有传入的stream量 没有什么有趣的日志,但/var/log/messages有这样的: Aug 29 17:54:06 client3738 named[22407]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:19::1#53 Aug 29 17:54:06 client3738 named[22407]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': […]
我打算推出一个小网站,但我害怕DDOS攻击,并将收取额外的费用。 我读过Amazon EC2不收取入站http请求? 关于Google Cloud实例是什么? 你能告诉我什么?
在使用绑定DNS服务器(不是开放的parsing器)并且不执行recursion查询的情况下,我看到很多被拒绝或拒绝的DNS查询请求,这些请求专注于将DNS服务器列为授权的域名被查询的域,但不再configuration域的任何区域。 这些域名归属于已经迁移域名的第三方,而且多年后从未更新其注册服务商列出的DNS服务器。 为什么这些明显的DDoS UDP攻击集中在未configuration的域或区域? 我没有测量networkingstream量,看是否有某种types的放大发生,但对未configuration的区域有一定的关注。
我最近遇到了DDoS攻击。 如何从那个时间窗口分析nginx webserver日志来检测它是什么样的DDoS? 我正在使用Microsoft Azure基础结构(以防万一)。 我知道可以使用Loggly等日志分析工具。 但我不能上传日志文件来分析它们 – 我需要将服务连接到我的实时服务器,它给了我一个分析仪表板使用。
今天我们的magento商店受到攻击,我希望有人可以帮助告诉我如何阻止来自100多个不同IP的这些请求: 182.255.44.234 – – [15/May/2017:13:24:14 +0100] "POST /calais-shop/customer/account/createpost/ HTTP/1.1" 503 1916 59.61.38.24 – – [15/May/2017:13:24:14 +0100] "POST /calais-shop/customer/account/createpost/ HTTP/1.1" 503 1916 120.39.95.47 – – [15/May/2017:13:24:13 +0100] "POST /calais-shop/customer/account/createpost/ HTTP/1.1" 503 1916 114.236.17.181 – – [15/May/2017:13:24:14 +0100] "POST /calais-shop/customer/account/createpost/ HTTP/1.1" 503 1916 114.236.17.181 – – [15/May/2017:13:23:47 +0100] "POST /calais-shop/customer/account/createpost/ HTTP/1.1" 503 1916 58.219.222.251 – – [15/May/2017:13:24:15 […]
由于来自许多不同IP的不断input,我的validation日志变得超级重(每个文件80G)。 Jun 20 14:00:36 localhost pluto[1796]: packet from 180.30.141.75:20532: Received packet with mangled IKE header – dropped Jun 20 14:00:36 localhost pluto[1796]: packet from 217.7.68.178:33733: not enough room in input packet for ISAKMP Message (remain=26, sd->size=28) Jun 20 14:00:36 localhost pluto[1796]: packet from 217.7.68.178:33733: Received packet with mangled IKE header – dropped Jun 20 14:00:36 […]
昨天我在Azure上的虚拟机受到DOS攻击。 症状是我无法通过RDP进行连接,除非服务器刚刚重新启动,并且仅在重新启动后的一小部分时间。 一旦我连接成功,使用netstat,我注意到来自台湾IP地址的50个RDP连接试验(使用服务器的人来自意大利)。 因此,我阻止了Azure门户中的特定IP地址(传入的安全规则),我的服务器又回到了正轨。 问题是:Azure默认包含DDOS攻击防范系统,不是吗? Azure中是否可以configuration额外的元素来防止这些问题? 因为目前我只禁止一个IP地址(昨天的攻击者)。 非常感谢,法比奥