防止DDoS攻击的一种技术是监视来自给定IP地址的每秒钟的数量或请求。 当然,IP地址可能是假货,但我们假设这不是问题。 安装在Tomcat上的Web应用程序(例如)可以configuration为仅使用安全的http连接(即https)。 我不是一个系统pipe理员专家,但我相信,在DDoS攻击的情况下,大量的https连接尝试可以创build100%的CPU峰值。 我的问题是: https上的DDoS攻击是否会造成100%的CPU峰值? 是否有可能实施一个软件filter来监控SSL协商开始之前的每秒请求数,以避免100%的CPU高峰期? 如果答案是肯定的,可以将它集成到Tomcat中吗? 如果是的话如何? 或者有更好的解决scheme呢? 谢谢。 编辑 如果回答2是(但不是在Tomcat中),那么有什么解决scheme可用?
我一直在进行安全扫描,并为我popup一个新的: DNS Server Spoofed Request Amplification DDoS 远程DNS服务器应答任何请求。 可以查询根区域('。')的名称服务器(NS)并获得比原始请求更大的答案。 通过欺骗源IP地址,远程攻击者可以利用这种“放大”来启动对使用远程DNS服务器的第三方主机的拒绝服务攻击。 一般解决scheme:限制从公共networking访问您的DNS服务器或重新configuration它拒绝这样的查询。 我正在为我的网站托pipe自己的DNS。 我不知道这里的解决scheme是什么…我真的在寻找一些具体的详细步骤来补丁,但还没有find。 有任何想法吗? CentOS5与WHM和CPanel。 另请参阅: http : //securitytnt.com/dns-amplification-attack/
我正在用php-fpm设置一个nginx web服务器,(d)dos deflate来禁止攻击。 现在目前根本没有stream量到我的服务器,因为我正在testing的东西。 通过这个命令,我可以看到谁连接到我的服务器,以及他们打开了多less个连接: netstat -ntu | awk'{print $ 5}'| 切-d:-f1 | sorting| uniq -c | 分类 在testing过程中,我注意到当我加载一个基本的<?php phpinfo(); ?> <?php phpinfo(); ?>它会启动3个连接。 我猜想1为HTML 2和该页面上的2个图像。 一切都很好,迄今为止… 但是我注意到在那三个closures之前花了一分多钟。 我一直运行上面的netstat命令,看看这3个外部连接是否会closures。 我的nginx.conf有一个保持活动超时4。 keepalive_timeout 4; 该连接是通过默认设置的Chrome浏览器进行的。 那么这些关系怎么会这么长久,这是正常的? 另外,有没有办法可以尽早closures它们?
我有两个目录,在/ var / www / vhosts : mydomain /和default /下 。 默认目录中的文件可以使用我们服务器的IP地址访问。 我已经检查了Apache日志,有人不断尝试访问该目录下的随机文件 – 正在执行“映射”。 在Apache的错误日志中,来自哪个请求的IP地址总是不同的。 我也怀疑这个映射导致Apache耗尽可用插槽,并在最后堵塞。 这里是Apache日志的一个片段: [Mon May 14 16:04:04 2012] [error] [client 190.12.83.230] File does not exist: /var/www/vhosts/default/htdocs/manager [Mon May 14 16:05:29 2012] [error] [client 200.48.7.17] File does not exist: /var/www/vhosts/default/htdocs/manager [Mon May 14 16:19:12 2012] [error] server reached MaxClients setting, consider […]
我有一个Ubuntu 10.04服务器,我安装了mod_evasive使用apt-get install libapache2-mod-evasive evasive 我已经尝试了几种configuration,结果保持不变。 阻塞确实有效,但是是随机的。 我尝试了低限度和长时间阻塞以及短暂的限制。 我期望的行为是,我可以请求的网站,直到任何页面或站点限制达到每个给定的时间间隔。 之后,我希望被阻止,直到我没有提出另一个要求,只要块的时间。 然而,行为是我可以要求网站,一段时间后,我得到随机403块,增加和decrase在百分比,但他们是非常分散的。 这是围城的输出,所以你有一个想法: HTTP/1.1 200 0.09 secs: 75 bytes ==> /robots.txt HTTP/1.1 403 0.08 secs: 242 bytes ==> /robots.txt HTTP/1.1 200 0.08 secs: 75 bytes ==> /robots.txt HTTP/1.1 403 0.08 secs: 242 bytes ==> /robots.txt HTTP/1.1 200 0.11 secs: 75 bytes ==> /robots.txt HTTP/1.1 403 0.08 […]
我的服务器正在被攻击(SYN洪水攻击),而我在/var/log/messages看到的是很多: r8169: eth0: link up r8169: eth0: link up r8169: eth0: link up 1.这是什么意思? 在攻击过程中我无法访问服务器,但在洪水停止后我也无法访问它,我必须重新启动服务器。 2.是否有可能避免这种重新启动? 是否有可能“自动设置”连接,而无需手动重新启动服务器? 附加信息:Ubuntu服务器10.04 64位8GB RAM,双核心。 防火墙:CSF(IPTables) 针对端口80(apache2)的SYN洪水攻击,stream量高达50-70Mbps 编辑 :@TimHaegele是正确的,这是一个驱动程序的问题,一旦Ubuntu升级的问题消失了。
我的服务器受到攻击,它充满了以下模式的请求: 数以千计的IP每个IP请求相同的页面“GET / HTTP / 1.1”每秒3-5次(相同的时间戳)。 所以我需要的是一个小的shell脚本,它接受来自“tail -f /var/www/log/access.log”的input并parsing相同时间戳的重复请求(例如,相同的引用者和相同的时间),并添加一个iptable规则来丢弃来自这个IP的所有数据包。
问题: 当我从我的服务器发送电子邮件时,电子邮件标题包含服务器的IP地址。 是的,这是一个问题,因为服务器正在成为DDoS攻击的目标。 如果我的服务器在发送电子邮件时显示其IP,则使用CloudFlare不会有帮助。 题: 如何在不透露IP的情况下从服务器发送邮件? 如果这是不可能的,我可以发送电子邮件到辅助服务器,将作为“盾”? 我怎样才能做到这一点? 我不介意辅助服务器是否受到攻击,电子邮件并不那么重要(当用户在我的论坛上注册时,或者他们收到私人消息/通知时,我只需发送电子邮件)。 谢谢。
我有几个服务器运行ssh代理,有人开始DDOS我,我已经安装了ddos deflate和apf。 ddos的stream量从10 MB / s下降到1 MB / s,但仍然让我的用户从我的服务器上踢走。 我的问题是:如果我制定一个规则来监视所有的stream量,并locking新的连接,当有人启动ddos将工作? 我的意思是,locking新的连接,并保持其他人运行!
我想问一下如何阻止spefic包的有效载荷? 14:46:35.837759 IP 145.92.16.14.27017 > x.27030: UDP, length 25 0x0000: 4500 0035 44a4 0000 ee11 53ae 915c 100e E..5D…..S..\.. 0x0010: 0587 8d74 6987 6996 0021 0000 7a78 4646 …ti.i..!..zxFF 0x0020: ffff ff55 4ba1 d522 0043 6f75 6c64 206e …UK..".Could.n 0x0030: 6f74 206f 70 ot.op 14:46:35.837775 IP 120.79.235.173.27015 > x.27015: UDP, length 25 0x0000: 4500 0035 […]