网站首页
教程下载
源码下载
字体下载
模板下载
美女图片
Flash频道
论坛交流
收藏本站
设为首页
繁體中文
新闻资讯
┊
网络冲浪
┊
网页设计
┊
网络编程
┊
图形图像
┊
数据库
┊
网络媒体
┊
服务器
┊
网络安全
┊
网站运营
┊
软件教程
┊
黑客
┊
认证
┊
Wap技术
教程搜索:
标题
全文
作者
选择类别
新闻资讯
网络冲浪
网页设计
网络编程
图形图象
数 据 库
网络媒体
服 务 器
网络安全
黑客教程
网站运营
认证考试
程序开发
Wap技术
高级搜索
网站信息查询工具
首页
>
网络安全
>
安全防范
> 正文
一次真实的DDoS攻击防御实战
日期:2006-1-21 9:37:06 来源:网络 作者:无名 浏览:次
第一轮进攻:
时间:下午15点30左右
突然发现公司的web server无法访问,尝试远程登录,无法连接,呼叫idc重启
服务器
。启动后立即登录察看,发现攻击还在继续,并且apache所有230个进程全部处于工作状态。由于
服务器
较老,内存只有512m,于是系统开始用swap,系统进入停顿状态。于是杀掉所有httpd,稍后
服务器
恢复正常,load从140降回正常值。
开始抓包,发现流量很小,似乎攻击已经停止,尝试启动httpd,系统正常。察看httpd日志,发现来自五湖四海的IP在尝试login.
php
,但是它给错了url,那里没有login.
php
,其他日志基本正常,除limit RST ....之类较多,由于在攻击中连接数很大,出现该日志也属正常。
观察10分钟,攻击停止。
第二轮进攻:
时间:下午17点50分
由于有了前次攻击经验,我开始注意观察web server的状态,刚好17点50分,机器load急剧升高,基本可以确定,又一轮攻击开始。
首先停掉了httpd,因为已经动弹不得,没办法。然后抓包,tcpdump -c 10000 -i em0 -n dst port 80 > /root/pkts发现大量数据报涌入,过滤其中IP,没有非常集中的IP,于是怀疑属于DDoS接下来根据上次从日志中过滤得到的可疑地址,比较本次抓包结果,发现很多重复记录。
分析:
这不是简单的DDoS,因为所有httpd进程都被启动,并且留下日志,而且根据抓包记录,每个地址都有完整的三次握手,于是确定,所有攻击源都是真实存在的,不是虚假的IP。
这样的可疑IP一共有265个,基本上都是国外的,欧洲居多,尤其西班牙。公司客户在欧洲的可为凤毛麟角,只有丢卒保车了。
采取的措施:
把所有265个IP,统统加入_blank">防火墙,全部过滤ipfw add 550 deny tcp from % to me 80,重新启动httpd。
观察了3个小时,ipfw列表中所有ACL的数据报量仍旧持续增长,但是公司的web server已经工作正常。
至此,此次攻击暂告一段落,不排除稍后继续发生,但是由于攻击者使用的都是真实肉鸡,同时掌握超过300个肉鸡实属罕见,因此基本上他不能够在短期内重新发动进攻。
上一篇:
QQ安全的三大纪律八项注意
下一篇:
让溢出攻击远离我们
返回列表
打印此页
加入收藏
资讯论坛
关闭窗口
点击复制本页地址,发送给QQ/MSN好友
关于我们
-
联系我们
-
版权声明
-
帮助(?)
-
广告服务
-
友情链接
-
服务项目
-
人才招聘
2003-2008 版权所有 ©
晨风资讯网
未经授权禁止复制或建立镜像
CopyRight 2003-2008
www.Net118.com
,All Rights Reserved.Design By
ChenFeng Network Studio
