防DDOS攻击 防DDOS攻击


经典解决方案

一次对抗大规模DDoS的真实经历,DDoS防御实战

发布于:2017-10-12 11:33来源: 作者:admin 点击:

每个网站都会面对网络攻击。唯一的区别在于,如何建设防御,以及如何进行警报和响应。

一次对抗大规模DDoS防御实战的真实经历

在网络上很难找到关于防御黑客攻击的真实案例。一方面,信息披露可能会引发官司,另一方面,披露这些信息往往会导致不良的财务后果,因此各公司往往不情愿分享相关细节。然而,如果我们完全不披露这些故事,会使其它人在不知情的情况下犯相同的错误。如果我们为建立威胁情报共享体系做出贡献,分享网络安全战场上的真实经验,可以让事情变得更好。

下面是事件过程:

疯狂攻击

第一轮进犯:

时刻:下午15点30摆布

     发现公司的web server无法访问,测验远程登录,无法连接,呼叫idc重启服务器。发动后当即登录调查,发现进犯还在持续,并且apache一切230个进程悉数处于作业状况。因为服务器较老,内存只要512m,所以体系开端用swap,体系进入中止状况。所以杀掉一切httpd,稍后服务器恢复正常,load从140降回正常值。

开端抓包,发现流量很小,好像进犯现已中止,测验发动httpd,体系正常。调查httpd日志,发现来自四面八方的IP在测验login.php,可是它给错了url,那里没有login.php,其他日志基本正常,除limit RST ....之类较多,因为在进犯中连接数很大,出现该日志也属正常。

调查10分钟,进犯中止。

第二轮进犯:

时刻:下午17点50分

因为有了前次进犯经历,我开端留意调查web server的状况,刚好17点50分,机器load急剧升高,基本能够断定,又一轮进犯开端。

首要停掉了httpd,因为现已动弹不得,没办法。然后抓包,tcpdump -c 10000 -i em0 -n dst port 80 > /root/pkts发现许多数据报涌入,过滤其间IP,没有十分会集的IP,所以置疑归于DDoS防御接下来依据上次从日志中过滤得到的可疑地址,对比本次抓包成果,发现许多重复记录。

剖析:

这不是简略的DDoS,因为一切httpd进程都被发动,并且留下日志,并且依据抓包记录,每个地址都有完整的三次握手,所以断定,一切进犯源都是实在存在的,不是虚伪的IP。

这样的可疑IP一共有265个,基本上都是国外的,欧洲居多,特别西班牙。公司客户在欧洲的可为百里挑一,只要丢卒保车了。

采纳的办法:

把一切265个IP,通通参加_blank">防火墙,悉数过滤ipfw add 550 deny tcp from % to me 80,从头发动httpd。

调查了3个小时,ipfw列表中一切ACL的数据报量依旧持续增长,可是公司的web server现已作业正常。

至此,这次进犯暂告一段落,不扫除稍后持续发作,可是因为进犯者使用的都是实在肉鸡,同时把握超越300个肉鸡实属罕见,因而基本上他不能够在短期内从头发动进犯。

tag标签:
------分隔线----------------------------
------分隔线----------------------------
[相关文章]
    • 24小时技术QQ:1767559921 24小时技术电话:13221000030
    • 公司总台电话:400-901-5608 售前咨询热线:0731-85380877
    小蚁网络-小小 小蚁网络-马马 小蚁网络-蚁蚁 小蚁网络-杨过 小蚁网络-anyyx 小蚁网络-奕奕 小蚁网络-令狐冲 小蚁网络-东邪 小蚁网络-富富 小蚁网络-鬼脚七 小蚁网络-三丰 小蚁网络-风清扬 小蚁网络-技术 投诉与建议

    投诉QQ :512360903
    非法信息举报 :[email protected]
    24小时网维支持 投诉与建议
    故障申报、处理
    24小时技术 24小时网管 企业技术支撑
    域名白名单、信息安全、备案咨询
    白名单审核周一至周六8:30-21:00 周日8:30-18:00 备案专员周一至周五8:30-18:00
    财务续费、发票
    财务续费直线:18073151018