192.168.1.1-路由器设置 | 192.168.0.1-无线路由器设置

来自午夜的dos攻击,计算机或网络无法提供正常访问

发布时间:2016-01-08 09:09

 概念:dos攻击,让你的计算机或网络无法提供正常访问。

 
现象:流量监控系统显示下行的红色曲线,邮件报警,发现web服务器异常,网站访问量瞬间暴跌
 
常见方式:计算机网络带宽攻击和连通性攻击
 
排查思路:
    先检查了web服务器日志,没有异常。查看防火墙日志和路由器日志,发现部分可疑流量,进而发现攻击时,路由器日志里有大量64字节的数据包,还有大量的“UDP-other”数据包,而web服务器日志还是正常。
 
解决方式:
SYN洪泛式攻击,利用tcp三次握手,由伪造的IP地址向目标端发送请求报文,而目标端的响应报文永远无法发送,如果有成千上万的这种连接,目标端等待关闭连接的过程会消耗大量的主机资源
 
 
1、禁止所有发给目标IP的UDP包,这种做法会让服务器丧失部分功能,如:DNS.
好处:减轻了web服务器的压力,web可以正常工作
弊端:攻击仍然可以到达web,影响网络性能
 
2、联系上游带宽提供商,暂时限制网站端口的UDP进入流量,降低网络到服务器的流量
 
3、统计SYN_RECV的状态,发现有大量的tcp同步数据包,但是连接上的却没有几个
[root@xiaoya ~]# netstat -an|grep SYN_RECV|wc -l
1522
或者查看当前最大连接数
[root@xiaoya ~]# netstat -na|grep EST|awk '{print $5}'|cut -d":" -f1,3|sort|uniq -c|sort -n
1 192.168.150.10
2 192.168.150.20
… …
1987 192.168.150.200
明显是收到了dos攻击
 
4、解决策略
http://blog.csdn.net/taiyang1987912/article/details/40039755
关于我们 - RSS地图 - 最近更新 - 友情链接 - 网站地图 - 版权声明