方法/步骤
1
先检查了web服务器日志,没有异常。查看防火墙日志和路由器日志,发现部分可疑流量,进而发现攻击时,路由器日志里有大量64字节的数据包,还有大量的“UDP-other”数据包,而web服务器日志还是正常。
2
SYN洪泛式攻击,利用tcp三次握手,由伪造的IP地址向目标端发送请求报文,而目标端的响应报文永远无法发送,如果有成千上万的这种连接,目标端等待关闭连接的过程会消耗大量的主机资源
3
禁止所有发给目标IP的UDP包,这种做法会让服务器丧失部分功能,如:DNS.
好处:减轻了web服务器的压力,web可以正常工作
弊端:攻击仍然可以到达web,影响网络性能
4
联系上游带宽提供商,暂时限制网站端口的UDP进入流量,降低网络到服务器的流量
5
统计SYN_RECV的状态,发现有大量的tcp同步数据包,但是连接上的却没有几个
[root@xiaoya ~]# netstat -an|grep SYN_RECV|wc -l1522
或者查看当前最大连接数
[root@xiaoya ~]# netstat -na|grep EST|awk '{print $5}'|cut -d":" -f1,3|sort|uniq -c|sort -n
1 192.168.150.10
2 192.168.150.20
… …
1987 192.168.150.200
明显是收到了dos攻击
END
解决策略
分析web日志
把单IP PV数高的封掉(可按天定义PV=1000即封掉)
[root@xiaoya ~]# cat test#!/bin/bash while true do ####access.log为web日志文件 awk '{print $1}' access.log | grep -v "^$" | sort | uniq -c >tmp.log exec <tmp.log #输入重定向 while read line #读取文件 do ip=`echo $line | awk '{print $2}'` count=`echo $line | awk '{print $1}'` if [ $count -gt 100 ] &&[ `iptables -n -L | grep "$ip" | wc -l` -lt 1 ] then iptables -I INPUT -s $ip -j DROP echo "$line is dropped" >>droplist.log fi done sleep 3 done
分析网络连接数
netstat -an | grep EST查看网络状态如下:
tcp 0 0 192.168.40.125:46476 112.95.242.171:80 ESTABLISHEDtcp 0 74 192.168.40.125:57948 173.194.127.177:443 ESTABLISHEDtcp 0 0 192.168.40.125:52290 118.144.78.52:80 ESTABLISHEDtcp 0 0 192.168.40.125:42593 163.177.65.182:80 ESTABLISHEDtcp 0 0 192.168.40.125:49259 121.18.230.110:80 ESTABLISHEDtcp 0 0 192.168.40.125:52965 117.79.157.251:80 ESTABLISHED
脚本如下
[root@xiaoya ~]# cat test#!/bin/bash while true do grep EST est.log | awk -F '[ :]+' '{print $6}' | sort | uniq -c >tmp.log ####netstat -an | grep EST | awk -F '[ :]+' '{print $6}' | sort | uniq -c exec <tmp.log while read line do ip=`echo $line | awk '{print $2}'` count=`echo $line | awk '{print $1}'` if [ $count -gt 100 ] &&[ `iptables -n -L | grep "$ip" | wc -l` -lt 1 ] then iptables -I INPUT -s $ip -j DROP echo "$line is dropped" >>droplist.log fi done sleep 3 done
1、首先在[开始]按钮右击点击其中的【运行】或者“win+R”打开运行框
2、接着,在运行框里面输入“cmd”然后点击确定
3、在“命令提示符”中,输入“arp -a",回车。并选择你想要攻击的ip"arp-a"这一步是看当前局域网里面的设备连接状态
4、输入”ping -l 65500 192.168.1.103 -t“并回车;-l是发送缓冲区大小,65500是它的极限;-t 就是一直无限下去,直到停止假设我要攻击ip为192.168.1.103的服务器,这就是ddos攻击
5、如果要停止攻击,就要按键盘上”Ctrl+C“来结束
DDOS名词解释,分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
一流的攻击速度以及强大的隐蔽性能,使得DDOS集合了市面上所有攻击软件优点成为了最热的攻击方式。接下来本文将简单的介绍一下三种最为流行的DDOS攻击方式
遇到大量DDOS攻击第一步应该介入高防服务器,防止网站瘫痪
第二步排查站内程序源码漏洞,及时封锁后门
第三步合理禁封掉攻击ip并追踪ip源,封禁无用的端口
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)