一次真实的DDoS攻击防御实战

  第一轮进攻:

  时间:下午15点30左右

  突然发现公司的web server无法访问,尝试远程登录,无法连接,呼叫idc重启服务器。启动后立即登录察看,发现攻击还在继续,并且apache所有230个进程全部处于工作状态。由于服务器较老,内存只有512m,于是系统开始用swap,系统进入停顿状态。于是杀掉所有httpd,稍后服务器恢复正常,load从140降回正常值。

  开始抓包,发现流量很小,似乎攻击已经停止,尝试启动httpd,系统正常。察看httpd日志,发现来自五湖四海的IP在尝试login.php,但是它给错了url,那里没有login.php,其他日志基本正常,除limit RST ....之类较多,由于在攻击中连接数很大,出现该日志也属正常。

  观察10分钟,攻击停止。

  第二轮进攻:

  时间:下午17点50分

  由于有了前次攻击经验,我开始注意观察web server的状态,刚好17点50分,机器load急剧升高,基本可以确定,又一轮攻击开始。

  首先停掉了httpd,因为已经动弹不得,没办法。然后抓包,tcpdump -c 10000 -i em0 -n dst port 80 > /root/pkts发现大量数据报涌入,过滤其中IP,没有非常集中的IP,于是怀疑属于DDoS接下来根据上次从日志中过滤得到的可疑地址,比较本次抓包结果,发现很多重复记录。

  分析:

  这不是简单的DDoS,因为所有httpd进程都被启动,并且留下日志,而且根据抓包记录,每个地址都有完整的三次握手,于是确定,所有攻击源都是真实存在的,不是虚假的IP。

  这样的可疑IP一共有265个,基本上都是国外的,欧洲居多,尤其西班牙。公司客户在欧洲的可为凤毛麟角,只有丢卒保车了。

  采取的措施:

  把所有265个IP,统统加入_blank">防火墙,全部过滤ipfw add 550 deny tcp from % to me 80,重新启动httpd。

  观察了3个小时,ipfw列表中所有ACL的数据报量仍旧持续增长,但是公司的web server已经工作正常。

  至此,此次攻击暂告一段落,不排除稍后继续发生,但是由于攻击者使用的都是真实肉鸡,同时掌握超过300个肉鸡实属罕见,因此基本上他不能够在短期内重新发动进攻。

(0)

相关推荐

  • 让浏览器崩溃的12行JS代码(DoS攻击分析及防御)

    让浏览器崩溃的12行JS代码(DoS攻击分析及防御)

    Ajax与pjax AJAX即"Asynchronous Javascript And XML"(异步JavaScript和XML),是一种用于创建快速动态网页的技术.通过在后台与服务器进行少量数据交换,AJAX可以使网页实现异步更新.这意味着可以在不重新加载整个网页的情况下,对网页的某部分进行更新-无刷新操作. 但是,ajax应用也会造成另外的问题,容易导致浏览器无法前进与后退,这是个很头疼的问题,开发人员必须增加工作量(比如通过一个隐藏的iframe,或者改变location.ha

  • IIS防御小规模DDOS攻击实例(反向代理)

    IIS防御小规模DDOS攻击实例(反向代理)

    最近几天公司官网和业务系统的注册页面频繁遭遇DDOS攻击,导致IIS应用程序池CPU占用率100%,访问网站出现503错误.下面总结一下应对措施.     一.启用IIS的CPU监视功能 对于低频率的DDOS可以采取这种方法.w3wp.exe是应用程序池的关联进程,当WEB访问量大时,w3wp.exe会占用大量的系统资源.在DDOS攻击下,很明显的现象就是w3wp.exe占用CPU达到100%,网站拒绝访问,这个时候远程登录服务器都很困难.针对这种情况,做如下优化: 1.为IIS中的每个网站设置

  • DDoS攻击的趋势与相关防御策略

    一.阻断服务(Denial of Service) 在探讨 DDoS 之前我们需要先对 DoS 有所了解,DoS泛指黑客试图妨碍正常使用者使用网络上的服务,例如剪断大楼的电话线路造成用户无法通话.而以网络来说,由于频宽.网络设备和服务器主机等处理的能力都有其限制,因此当黑客产生过量的网络封包使得设备处理不及,即可让正常的使用者无法正常使用该服务.例如黑客试图用大量封包攻击一般频宽相对小得多的拨接或 ADSL 使用者,则受害者就会发现他要连的网站连不上或是反应十分缓慢. DoS 攻击并非入侵主机也

  • 冲浪DDoS(拒绝服务)攻击的趋势与防御

    一.阻断服务(Denial of Service) 在探讨DDoS 之前我们需要先对 DoS 有所了解,DoS泛指黑客试图妨碍正常使用者使用网络上的服务,例如剪断大楼的电话线路造成用户无法通话.而以网络来说,由于频宽.网络设备和服务器主机等处理的能力都有其限制,因此当黑客产生过量的网络封包使得设备处理不及,即可让正常的使用者无法正常使用该服务.例如黑客试图用大量封包攻击一般频宽相对小得多的拨接或 ADSL 使用者,则受害者就会发现他要连的网站连不上或是反应十分缓慢. DoS 攻击并非入侵主机也不

  • 使用AngularJS中的SCE来防止XSS攻击的方法

    使用AngularJS中的SCE来防止XSS攻击的方法

    这篇文章展示了有关XSS(跨站脚本)的不同方案以及怎样使用AngularJS中SCE($sceProvider),sanitize service这些特性来正确处理XSS.如果我遗漏了什么重要的地方请直接评论/建议.同时,错别字请见谅. 以下几点内容将是我接下来要讲述的重点: 全部转码HTML 安全插入HTML的同时忽略类似"script"这样的标签.如果不加以注意,这将一样存在风险同时也会丑化页面,尤其是在有"img"标签的时候. 依赖并插入纯HTML:这也有风险

  • 浅谈利用JavaScript进行的DDoS攻击原理与防御

    浅谈利用JavaScript进行的DDoS攻击原理与防御

    分布式拒绝服务攻击(DDoS)攻击是一种针对网站发起的最古老最普遍的攻击.Nick Sullivan是网站加速和安全服务提供商CloudFlare的一名系统工程师.近日,他撰文介绍了攻击者如何利用恶意网站.服务器劫持和中间人攻击发起DDoS攻击,并说明了如何使用HTTPS以及即将到来的名为"子资源一致性(Subresource Integrity,简称SRI)"的Web新技术保护网站免受攻击. 现代网站的大部分交互都来自于JavaScript.网站通过直接向HTML中添加JavaScr

  • PHP中防止SQL注入攻击和XSS攻击的两个简单方法

    mysql_real_escape_string() 所以得SQL语句如果有类似这样的写法:"select * from cdr where src =".$userId; 都要改成 $userId=mysql_real_escape_string($userId) 所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) .

  • 什么是JavaScript注入攻击?

    Javascript可以作为黑客攻击网站的一种工具,其中注入js(javascript)恶意脚本就是其中一种手段之一,那么下面,大家来学习一下如何预防js的注入攻击呢?以下有一个不错的陈述,跟大家分享: 什么是 JavaScript 注入攻击? 每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击.让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序.假设已经创建了一个客户反馈网站.客户可以访问网站并输入对产品的反馈信息.当客户提交反馈时,

  • 防御DDoS攻击实用指南 守住你的网站

    一.为何要DDoS? 随着Internet互联网络带宽的增加和多种DDoS黑客工具的不断发布,DDoS拒绝服务攻击的实施越来越轻易,DDoS攻击事件正在成上升趋势.出于商业竞争.打击报复和网络敲诈等多种因素,导致很多IDC托管机房.商业站点.游戏服务器.聊天网络等网络服务商长期以来一直被DDoS攻击所困扰,随之而来的是客户投诉.同虚拟主机用户受牵连.法律纠纷.商业损失等一系列问题,因此,解决DDoS攻击问题成为网络服务商必须考虑的头等大事. 二.什么是DDoS? DDoS是英文Distribut

  • 一次真实的DDoS攻击防御实战

    第一轮进攻: 时间:下午15点30左右 突然发现公司的web server无法访问,尝试远程登录,无法连接,呼叫idc重启服务器.启动后立即登录察看,发现攻击还在继续,并且apache所有230个进程全部处于工作状态.由于服务器较老,内存只有512m,于是系统开始用swap,系统进入停顿状态.于是杀掉所有httpd,稍后服务器恢复正常,load从140降回正常值. 开始抓包,发现流量很小,似乎攻击已经停止,尝试启动httpd,系统正常.察看httpd日志,发现来自五湖四海的IP在尝试login.

  • Nginx防御DDOS攻击的配置方法教程

    Nginx防御DDOS攻击的配置方法教程

    前言 Nginx是一款轻量级的Web服务器,由俄罗斯的程序设计师Igor Sysoev所开发,最初供俄国大型的入口网站及搜寻引Rambler使用. 其特点是占有内存少,并发能力强,事实上Nginx的并发能力确实在同类型的网站服务器中表现较好. 防御DDOS是一个系统工程,攻击花样多,防御的成本高瓶颈多,防御起来即被动又无奈.DDOS的 特点是分布式,针对带宽和服务攻击,也就是四层流量攻击和七层应用攻击,相应的防御瓶颈四层在带宽,七层的多在架构的吞吐量.对于七层的应用攻击,我们还 是可以做一些配置

  • CCKiller:Linux轻量级CC攻击防御工具,秒级检查、自动拉黑和释放

    CCKiller:Linux轻量级CC攻击防御工具,秒级检查、自动拉黑和释放

    张戈博客很久以前分享过一个CC攻击的防御脚本,写得不怎么样,不过被51CTO意外转载了.博客从此走上了经常被人拿来练手的不归之路. 当然,还是有不少朋友在生产环境使用,并且会留言询问相关问题.根据这些问题的需求,我花了一些时间重新写了一个比较满意的轻量级CC攻击防御脚本,我给它取了一个比较形象的名字:CCKiller,译为CC终结者. 一.功能申明 分享之前我必须先申明一下,众所周知,DDoS攻击指的是分布式拒绝服务.而CC攻击只是DDoS攻击的一种,本文所阐述的CC攻击,指的是每个IP都以高并

  • 使用Nginx、Nginx Plus抵御DDOS攻击的方法

    使用Nginx、Nginx Plus抵御DDOS攻击的方法

    DDOS 是一种通过大流量的请求对目标进行轰炸式访问,导致提供服务的服务器资源耗尽进而无法继续提供服务的攻击手段. 一般情况下,攻击者通过大量请求与连接使服务器处于饱和状态,以至于无法接受新的请求或变得很慢. 一.应用层DDOS攻击的特征 应用层(七层/HTTP层)DDOS 攻击通常由木马程序发起,其可以通过设计更好的利用目标系统的脆弱点.例如,对于无法处理大量并发请求的系统,仅仅通过建立大量的连接,并周期性的发出少量数据包来保持会话就可以耗尽系统的资源,使其无法接受新的连接请求达到 DDOS

  • 解析JavaScript实现DDoS攻击原理与保护措施

    DDos介绍 最普遍的攻击是对网站进行分布式拒绝服务(DDoS)攻击.在一个典型的DDoS攻击中,攻击者通过发送大量的数据到服务器,占用服务资源.从而达到阻止其他用户的访问. 如果黑客使用JavaScript的DDoS攻击,那么任何一台计算机都可能成为肉鸡,使潜在的攻击量几乎是无限的. Javascript实现DDos攻击原理分析 现在网站的交互性都是通过JavaScript来实现的.通过添加JavaScript直接插入HTML元素,或通过远程来加载JavaScript.浏览器会读取script

  • Linux VPS安全设置之三:使用DDOS deflate抵御少量DDOS攻击

    互联网是丰富多彩的,基本上能够找到我们需要的资源,也正因为如此很多朋友都加入到站长的行列中来.在众多站长之间也会存在明争暗斗的事情.尤其是我们个人站长,由于技术和财力有限,好不容易使用上主机.VPS后被攻击没有能力防御,导致我们的主机或者VPS商给我们的账户暂停,IP挂起等.尤其是我们在使用的VPS主机中,因为是按照流量消费的,在耗尽我们的流量,遭遇大量的DDOS攻击之后,也束手无策,包括老左也看到之前也遭遇到DDOS攻击. 在遇到这些问题的时候,我们是否能在VPS设置中进行处理呢?哪怕是一点点

随机推荐