怎么防住ddos攻击的ip

怎么防住ddos攻击的ip,第1张

方法/步骤

1

先检查了web服务器日志,没有异常。查看防火墙日志和路由器日志,发现部分可疑流量,进而发现攻击时,路由器日志里有大量64字节的数据包,还有大量的“UDP-other”数据包,而web服务器日志还是正常。

2

SYN洪泛式攻击,利用tcp三次握手,由伪造的IP地址向目标端发送请求报文,而目标端的响应报文永远无法发送,如果有成千上万的这种连接,目标端等待关闭连接的过程会消耗大量的主机资源

3

禁止所有发给目标IP的UDP包,这种做法会让服务器丧失部分功能,如:DNS.

好处:减轻了web服务器的压力,web可以正常工作

弊端:攻击仍然可以到达web,影响网络性能

4

联系上游带宽提供商,暂时限制网站端口的UDP进入流量,降低网络到服务器的流量

5

统计SYN_RECV的状态,发现有大量的tcp同步数据包,但是连接上的却没有几个

[root@xiaoya ~]# netstat -an|grep SYN_RECV|wc -l1522

或者查看当前最大连接数

[root@xiaoya ~]# netstat -na|grep EST|awk '{print $5}'|cut -d":" -f1,3|sort|uniq -c|sort -n

1 192.168.150.10

2 192.168.150.20

… …

1987 192.168.150.200

明显是收到了dos攻击

END

解决策略

分析web日志

把单IP PV数高的封掉(可按天定义PV=1000即封掉)

[root@xiaoya ~]# cat test#!/bin/bash  while true  do  ####access.log为web日志文件  awk '{print $1}' access.log | grep -v "^$" | sort | uniq -c >tmp.log          exec <tmp.log             #输入重定向    while read line            #读取文件    do      ip=`echo $line | awk '{print $2}'`      count=`echo $line | awk '{print $1}'`        if [ $count -gt 100 ] &&[ `iptables -n -L | grep "$ip" | wc -l` -lt 1 ]        then          iptables -I INPUT -s $ip -j DROP          echo "$line is dropped" >>droplist.log        fi      done  sleep 3  done

分析网络连接数

netstat -an | grep EST查看网络状态如下:

tcp        0      0 192.168.40.125:46476        112.95.242.171:80           ESTABLISHEDtcp        0     74 192.168.40.125:57948        173.194.127.177:443         ESTABLISHEDtcp        0      0 192.168.40.125:52290        118.144.78.52:80            ESTABLISHEDtcp        0      0 192.168.40.125:42593        163.177.65.182:80           ESTABLISHEDtcp        0      0 192.168.40.125:49259        121.18.230.110:80           ESTABLISHEDtcp        0      0 192.168.40.125:52965        117.79.157.251:80           ESTABLISHED

脚本如下

[root@xiaoya ~]# cat test#!/bin/bash  while true  do grep EST est.log | awk -F '[ :]+' '{print $6}' | sort | uniq -c >tmp.log  ####netstat -an | grep EST | awk -F '[ :]+' '{print $6}' | sort | uniq -c  exec <tmp.log    while read line    do      ip=`echo $line | awk '{print $2}'`      count=`echo $line | awk '{print $1}'`        if [ $count -gt 100 ] &&[ `iptables -n -L | grep "$ip" | wc -l` -lt 1 ]        then          iptables -I INPUT -s $ip -j DROP          echo "$line is dropped" >>droplist.log        fi      done  sleep 3  done

1、首先在[开始]按钮右击点击其中的【运行】或者“win+R”打开运行框

2、接着,在运行框里面输入“cmd”然后点击确定

3、在“命令提示符”中,输入“arp -a",回车。并选择你想要攻击的ip"arp-a"这一步是看当前局域网里面的设备连接状态

4、输入”ping -l 65500 192.168.1.103 -t“并回车;-l是发送缓冲区大小,65500是它的极限;-t 就是一直无限下去,直到停止假设我要攻击ip为192.168.1.103的服务器,这就是ddos攻击

5、如果要停止攻击,就要按键盘上”Ctrl+C“来结束

DDOS名词解释,分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。

一流的攻击速度以及强大的隐蔽性能,使得DDOS集合了市面上所有攻击软件优点成为了最热的攻击方式。接下来本文将简单的介绍一下三种最为流行的DDOS攻击方式

遇到大量DDOS攻击

第一步应该介入高防服务器,防止网站瘫痪

第二步排查站内程序源码漏洞,及时封锁后门

第三步合理禁封掉攻击ip并追踪ip源,封禁无用的端口


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/14414.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-02-12
下一篇2023-02-12

发表评论

登录后才能评论

评论列表(0条)

    保存