廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2299 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[心得分享] 抵禦DDOS攻擊實戰
抵禦DDOS攻擊實戰
作者: voboynet 發表日期: 2006-11-09 09:27 文章屬性: 轉載 複製鏈結
http://big5.ccidnet.com:89/gate/big5/voboy.blog.cc...showone/tid_103329.html

系統:freebsd

第一輪進攻:
時間:下午15點30左右


  突然發現公司的web server無法訪問,嘗試遠程登錄,無法連接,呼叫idc重啟伺服器。啟動後立即登錄察看,發現攻擊還在繼續,並且apache所有230個進程全部處於工作狀態。由於伺服器較老,記憶體只有512m,於是系統開始用swap,系統進入停頓狀態。於是殺掉所有httpd,稍後伺服器恢復正常,load從140降回正常值。

開始抓包,發現流量很小,似乎攻擊已經停止,嘗試啟動httpd,系統正常。察看httpd日誌,發現來自五湖四海的IP在嘗試login.php,但是它給錯了url,那裏沒有login.php,其他日誌基本正常,除limit RST ....之類較多,由於在攻擊中連接數很大,出現該日誌也屬正常。

觀察10分鐘,攻擊停止。

第二輪進攻:
時間:下午17點50分

  由於有了前次攻擊經驗,我開始注意觀察web server的狀態,剛好17點50分,機器load急劇升高,基本可以確定,有一輪攻擊開始。

  首先停掉了httpd,因為已經動彈不得,沒辦法。然後抓包,tcpdump -c 10000 -i em0 -n dst port 80 > /root/pkts發現大量數據報涌入,過濾其中IP,沒有非常集中的IP,於是懷疑屬於DDoS接下來根據上次從日誌中過濾得到的可疑地址,比較本次抓包結果,發現很多重復記錄。

分析:

  這不是簡單的DDoS,因為所有httpd進程都被啟動,並且留下日誌,而且根據抓包記錄,每個地址都有完整的三次握手,於是確定,所有攻擊源都是真實存在的,不是虛假的IP。

  這樣的可疑IP一共有265個,基本上都是國外的,歐洲居多,尤其西班牙。公司客戶在歐洲的可為鳳毛麟角,只有丟卒保車了。

採取的措施:

  把所有265個IP,統統加入防火牆,全部過濾ipfw add 550 deny tcp from % to me 80,重新啟動httpd。

  觀察了3個小時,ipfw列表中所有ACL的數據報量仍舊持續增長,但是公司的web server已經工作正常。

  至此,此次攻擊暫告一段落,不排除稍後繼續發生,但是由於攻擊者使用的都是真實肉雞,同時掌握超過300個肉雞實屬罕見,因此基本上他不能夠在短期內重新發動進攻。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:台灣 和信超媒體寬帶網 | Posted:2006-11-12 14:46 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.061366 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言