精华内容
下载资源
问答
  • 服务器被攻击方式及防御措施?

    千次阅读 2018-07-04 10:51:38
    主流的服务器攻击方式有多种手段,但是唯独DDoS攻击、CC攻击以及ARP欺骗,这些攻击方式称为三大攻击手段,不仅可以致使服务器瘫痪,而且还很无解。 DDOS攻击 DDoS攻击全名叫做分布式拒绝服务(DDoS:...

    主流的服务器攻击方式有多种手段,但是唯独DDoS攻击CC攻击以及ARP欺骗,这些攻击方式被称为三大攻击手段,不仅可以致使服务器瘫痪,而且还很无解。

    DDOS攻击

    DDoS攻击全名叫做分布式拒绝服务(DDoS:Distributed Denial of Service),攻击者往往将多个计算机平台联合起来对同一个目标或者多个目标进行攻击,攻击所造成的后果也因此而严重程度不同。

    DDoS攻击为何如此无解呢?
      因为DDoS攻击常常会采用通过大量合法的请求的手段占用服务器网络资源,由此而达到瘫痪网络的目的。服务器在面对DDoS攻击时很难合理的判定和区分请求,因此遭受攻击时往往束手无策,只能等待攻击者停止攻击。

    这是网络中最普遍的攻击类型,衍生了很多其他的攻击类型,但是,其原理都是通过多台肉鸡发送大量合法的请求占用大量服务资源,以达到瘫痪网络或者服务器死机的目的。其中SYN Flood洪水攻击利用TCP协议的缺陷,发送大量伪造的TCP连接请求,即在第2次握手前断开连接,使服务器端出于等待响应的状态,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

    TCP全连接攻击则是通过大量的肉机不断地和目标服务器建立大量的TCP连接,由于TCP连接数是有限的,很容易使服务器的内存等资源被耗尽而被拖跨,从而使服务器造成拒绝服务。这种攻击可以绕过一般防火墙,但是需要大量的肉机,并且由于肉机的IP是暴露的,也非常容易被追踪。

    刷Script脚本攻击主要针对ASP、JSP、PHP、CGI等脚本程序。其原理是和服务器建立正常的TCP连接,同时不断向服务器提交查询列表等大量消耗数据库资源的调用指令,从而拖垮服务器。

    预防的主流办法有三种

    1. 一是防火墙,也有网关防火墙和路由型防火墙之分。可以抵御大部分的DDOS攻击。
    2. 再就是CDN加速,把这些攻击分散到镜像服务器上,从而使这些攻击无法对服务器产生过多的影响。
    3. 最后就是流量清洗,部署专业的设备和方案,对数据流量实时监控,清洗掉异常的流量。

    CC攻击

    CC攻击相比DDoS攻击也并不逊色。本质上来看,二者属于同一类攻击,均是要借助代理服务器生成指向受害主机的合法请求。但不同的是,DDoS攻击通常针对平台以及网站发送大量数据包造成目标瘫痪,而CC攻击则更倾向于攻击页面。

    那么是否CC攻击要比DDoS攻击影响小呢?
      并非这样,CC攻击IP及流量,隐藏性都非常强,这种攻击手段是很多论坛用户常见的一种,是目前十分主流的一种服务器攻击方式。

    攻击者控制肉机不停地发大量数据包给目标服务器,从而造成服务器资源耗尽或网络拥堵。CC可以模拟多个用户不停地进行访问那些需要大量数据操作的页面(数据查询,论坛),造成服务器资源的浪费,由于这些IP都是真实的,数据包也正常,请求都是有效的请求,服务器无法拒绝,从而让CPU长时间处于满载的专题。永远都有处理不完的请求排队,直到正常的访问被中止。

    预防CC攻击的办法有:

    1. 把网站尽量做成静态页面、限制连接的数量、修改超时时间、以及分析可疑IP。

    ARP欺骗

    ARP(Address Resolution Protocol)欺骗通俗来讲便是将IP地址转化成物理地址的协议。其一般会有两种出现方式,一种为对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

    这两种欺骗都会引起十分严重的后果,对路由器的欺骗可能会导致相关网关数据被截获,黑客制造路由器错误的内网Mac地址,使得真实信息无法保存于路由器之中。而对PC的网关欺骗则是通过伪造网关,欺骗PC向假的网关发送数据。

    这类攻击则主要是以窃取用户账户数据资料为目的,通过伪造IP地址和MAC物理地址实现欺骗,也能够在网络中产生大量的ARP通信量使网络阻塞。主要发生在区域网内,攻击者通过发布错误的ARP广播包,阻断正常的网络通信,而且还将自己的电脑伪装成他人的电脑,原本是要发往他人的数据,被发到了入侵者的电脑上,从而达到窃取用户账户数据资料的目的。

    预防ARP欺骗的方法有

    1. 安装专业的杀毒软件、绑定IP和MAC地址。

    不能防御但能减轻

      三大攻击无解,但是我们却看到了这些攻击手段并没有让我们的互联网时代瘫痪,也没有泛滥成灾。这是因为这些攻击手段虽然无法防御,却可以通过有效的手段来减轻攻击造成的损害,降低被攻击的概率。

    几种防御杀手方法

      DDoS攻击由于其普遍性和臭名昭著,几乎目前所有的计算机都已经对其有所防范。防火墙就是防范DDoS攻击的一大利器。网关防火墙和路由防火墙应对不同类型的DDoS攻击均可起到一定的作用。

      而次外,采用CDN加速,把这些攻击分散到镜像服务器上,降低对服务器影响也是一种不错的应对方法。

      而如果企业饱受DDoS攻击困扰,那就只能采用最有效也是最贵的流量清洗了。部署专业的设备和方案,对数据流量实时监控,清洗掉异常的流量。同时,增加带宽,企业核心业务云化也是一种应对手段。


      而CC攻击由于更针对网页,取消域名绑定是一种不错的方式。但是这种方法治标不治本,很可能引发CC攻击对新域名的新一轮轰炸。

      再者,采用静态页面可以增加攻击时间,降低攻击频率,减缓问题。而禁用网站代理访问虽然会给用户造成一定困扰,可是也是防御DDoS和CC攻击都很可靠的方式。限制连接数量,修改最大超时时间等,均可以对分布式攻击的症状有所缓解。

      但是,CC攻击是技术性比较强的一种攻击,一般的防御手段虽然可以应付。可是如果其采用大流量攻击,那么除了增加带宽等砸钱的办法,企业也基本上束手无策。因此,采用云化的方式也正在被开发用以对付分布式攻击。


      而ARP欺骗需要ARP病毒的帮助,因此,一款良好的杀毒软件可以让用户事半功倍。但是如果仅仅是杀毒还是治标不治本,寻找正确的方式找到ARP病毒源,进行相应的查杀才能有所改观。

      再者,由于ARP攻击手段主要采用了伪装IP地址和MAC地址的方式对用户进行错误的诱导,因此,绑定IP及MAC地址也可以有良好的效果。

    结束语

      三大攻击手段虽然无法彻底根除,但是其并不足以让我们对互联网安全失去信心。采用正确的防范手段,针对性的进行防御,便可以成功降低其对用户的危害。同时,由于云计算的崛起,当今互联网企业云迁移也是解决此类问题的良方之一。而随着云技术更深层次的发展,也相信这些顽固旧疾终有一天在云被处决。
      
    下一篇文章:
    服务器被攻击分析?

    展开全文
  • linux服务器被攻击后处理方法

    千次阅读 2014-11-07 00:45:51
    对于一些在云平台上租用的服务器

       对于一些在云平台上租用的服务器,列如linux操作系统,很多公司或者个人都不使用自带的防火墙(iptables),那样很容易被黑客入侵,虽然linux系统是安全高效稳定的,但是安全也是相对的,下面就简单讲解下,当linux服务器被攻击后应该如何处理:

        服务器被攻击状态不定时向外发送大量数据包,导致整体网络丢包严重。

        可疑进程:  pphp6       初步怀疑是DDOS程序

                            netns        可以在一台服务器上用不同网卡做环回,导致服务器资源耗尽,如 lo 回环口流量异常大,需要注意下了,(通过远程端口注入)

                            profs         初步怀疑是被利用发起DDOS的服务端程序

        IP发现在广东。


       很多人一般会先切断网络------然后进行数据备份------对系统进行检查,修复,甚至重装系统------部署策略------恢复数据------打开网络连接对外提供服务

       我是这样处理的:  --------------ps:eth0是外网网卡


       1.先做一条策略禁止新的IP连接我的服务器:

          root# service iptables restart

                   iptables -F

                   iptables -A INPUT -i eth0 -j DROP


       2.然后用命令   netstat -anpt 查看哪些IP连接着我的服务器,同时可以查看到相应的进程和PID,记录那些可疑IP和可疑进程。

          怀疑某个特殊进程后可以用以下命令查看进程的完整路径:

          pidof   进程名称                                -----或者用 ps -ef | grep  进程名称

          ls -al /proc/进程号/exe                      ----这就可以查出完全路径了

          ls -al /proc/进程号/fd                        -----查看文件的句柄


       3.用命令    w     或者   last   查看可疑用户,将可疑用户锁定后强行下线

           passwd   -l     用户名                        ------    -u  是解锁

           ps  -ef  |  grep  @pts/3

            kill  -9   进程号

         

       4.接下来把可疑进程杀掉:                     -------------------我发现的可疑进程有3个:pphp6,netns,profs             查出的路径在部署的nagios目录里面,所以断定是外来文件。

          kill   -9  进程号                                  --------------杀完,网络明显好转。


       5. 查看是否有执行计划:

          crontab -l              有其他用户也看下        crontab  -u   用户名    -l 

          如果有很多不知道的任务计划,一般会出现非常多注释,然后有用的夹杂在里面,列如service  iptables stop  ,   get .....        put ....       cat  日志发送给远端服务器等等。


       6. 接下来备份数据

           我用的CRT 传输数据


       7.接下来再仔细查看系统日志去发现可疑行踪,或者有可疑文件:

          tail -3000   /var/log/messages               ------查看进程启停状态以及连接状态      属于一般的消息日志

          tail -3000   /var/log/secure                     ------本机安全有关的消息,列如用户再试探密码

          tail -3000   /var/log/wtmp                       ------查看用户的登入信息

         查看各用户目录下是否存在隐藏脚本,各用户的  .bash_profile      .bashrc           .bash_logout         .bash_history

      比如  cd   /root/

               ls   -a

               cat    .bash_profile              ------su  切换的时候执行

               cat    .bashrc                         -----登入的时候执行

                cat    .bash_logout               -----登出的时候执行

               cat     .bash_history             -----保留的历史命令

        同时也要查看 /etc/目录下的这几个文件里面是否加入了什么命令或脚本,有些黑客会加入   iptables  -F   或者   service iptables stop ,那样你一开始做的策略就没有用了。

      ps:一般在    .bash_history    里面会加入        history  -c                  rm -rf    /var/log/wtmp

        

        确定完这些以后,该锁定的用户锁定,该删除的文件删除(有些文件被故意锁定了无法删除,可以用   “lsattr  文件名 ”     查看权限,   用  “ chattr  -i    文件名 ”    解锁文件,

         “ chattr  +i   文件名”   锁定文件 ),.bash_profile等文件也确认里面是否有添加其他可以命令,同时也查看下服务器自启动的程序。

                   chkconfig  --list                          ----查看服务

                  chkconfig   服务    off                 -----关闭自启动


       8.已经清理差不多了就可以做策略允许被访问的端口,打开外网(其实最好就是重做系统,因为你不知道你的服务器是否中了  rootkit,命令文件是否被替换或者被感染,而现在你还要确认下你是否打了bash的补丁,最新的linux安全漏洞,也可以用chkrootkit、rkhunter、lynis、antivir等工具检查下linux文件,必要时可以从安全的服务器上拷贝命令过来使用)

            我做的策略是允许特定的端口,拒绝所有,允许被ping:

           iptables -I INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
           iptables -I INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
           iptables -I INPUT -i eth0 -p tcp --dport 5666 -j ACCEPT

           iptables -I INPUT -p icmp -i eth0 -j ACCEPT

           iptables -I INPUT -p all -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

           iptables -A INPUT -i eth0 -j DROP

           service iptables save

           如果不允许被别人ping的话:

           #不允许别人ping自己,自己可以ping别人
    iptables -I INPUT -p icmp -j DROP
    iptables -I OUTPUT -p icmp --icmp-type 8 -j ACCEPT
    iptables -I INPUT -p icmp --icmp-type 0 -j ACCEPT
    iptables -I INPUT -p icmp --icmp-type 3 -j ACCEPT

       然后开启网卡  :   ifup  eth0


        9.进行监控观察流量和进程。



        后言:

       其实服务器刚刚安装好的时候就应该对其做基本的安全修改,比如账户的修剪和账号策略,关闭不必要的服务和端口,关闭root远程登入(使用普通账号后su),修改ssh连接端口,修改登入反馈信息,禁止非日志服务器接收日志,或者单独拿一台服务器做路由器做策略,其他服务器做   原地址转换(SNAT)    目标地址转换(DNAT)    端口映射等等,  最好是有硬件防火墙。


       下次总结下如何对linux系统安全优化,网络安全策略等。



       以上内容属于自己的看法和做法

        对以上内容有问题,有错误欢迎指出

        联系邮箱:qrcg92@foxmail.com

    
    展开全文
  • 上周知名博主阮一峰的博客DDOS攻击,导致网站无法访问而被迫迁移服务器的事情,引起了广大网友的关注及愤慨,包括小编的个人博客也曾接受过DDOS的“洗礼”,对此感同身受。所以,本文我们一起来了解下DDOS攻击并...

    上周知名博主阮一峰的博客被DDOS攻击,导致网站无法访问而被迫迁移服务器的事情,引起了广大网友的关注及愤慨,包括小编的个人博客也曾接受过DDOS的“洗礼”,对此感同身受。所以,本文我们一起来了解下DDOS攻击并分享一些在一定程度范围内的应对方案。

    关于DDOS攻击

    分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。

    通常,攻击者将攻击程序通过代理程序安装在网络上的各个“肉鸡”上,代理程序收到指令时就发动攻击。

    (DDOS攻击示意图)

    随着网络技术发展,DDOS攻击也在不断进化,攻击成本越来越低,而攻击力度却成倍加大,使得DDOS更加难以防范。比如反射型DDoS攻击就是相对高阶的攻击方式。攻击者并不直接攻击目标服务IP,而是通过伪造被攻击者的IP向全球特殊的服务器发请求报文,这些特殊的服务器会将数倍于请求报文的数据包发送到那个被攻击的IP(目标服务IP)。

    DDOS攻击让人望而生畏,它可以直接导致网站宕机、服务器瘫痪,对网站乃至企业造成严重损失。而且DDOS很难防范,可以说目前没有根治之法,只能尽量提升自身“抗压能力”来缓解攻击,比如购买高防服务。

    DDoS攻击简介

    分布式拒绝服务攻击(DDoS攻击)是一种针对目标系统的恶意网络攻击行为,DDoS攻击经常会导致被攻击者的业务无法正常访问,也就是所谓的拒绝服务。

    常见的DDoS攻击包括以下几类:

    • 网络层攻击:比较典型的攻击类型是UDP反射攻击,例如:NTP Flood攻击,这类攻击主要利用大流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问。

    • 传输层攻击:比较典型的攻击类型包括SYN Flood攻击、连接数攻击等,这类攻击通过占用服务器的连接池资源从而达到拒绝服务的目的。

    • 会话层攻击:比较典型的攻击类型是SSL连接攻击,这类攻击占用服务器的SSL会话资源从而达到拒绝服务的目的。

    • 应用层攻击:比较典型的攻击类型包括DNS flood攻击、HTTP flood攻击、游戏假人攻击等,这类攻击占用服务器的应用处理资源极大的消耗服务器处理性能从而达到拒绝服务的目的。

    DDoS攻击缓解最佳实践

    建议阿里云用户从以下几个方面着手缓解DDoS攻击的威胁:

    1. 缩小暴露面,隔离资源和不相关的业务,降低被攻击的风险。

    2. 优化业务架构,利用公共云的特性设计弹性伸缩和灾备切换的系统。

    3. 服务器安全加固,提升服务器自身的连接数等性能。

    4. 做好业务监控和应急响应。

    DDOS攻击应对策略

    这里我们分享一些在一定程度范围内,能够应对缓解DDOS攻击的策略方法,以供大家借鉴。

    1.定期检查服务器漏洞

    定期检查服务器软件安全漏洞,是确保服务器安全的最基本措施。无论是操作系统(Windows或linux),还是网站常用应用软件(mysql、Apache、nginx、FTP等),服务器运维人员要特别关注这些软件的最新漏洞动态,出现高危漏洞要及时打补丁修补。

    2.隐藏服务器真实IP

    通过CDN节点中转加速服务,可以有效的隐藏网站服务器的真实IP地址。CDN服务根据网站具体情况进行选择,对于普通的中小企业站点或个人站点可以先使用免费的CDN服务,比如百度云加速、七牛CDN等,待网站流量提升了,需求高了之后,再考虑付费的CDN服务。

    其次,防止服务器对外传送信息泄漏IP地址,最常见的情况是,服务器不要使用发送邮件功能,因为邮件头会泄漏服务器的IP地址。如果非要发送邮件,可以通过第三方代理(例如sendcloud)发送,这样对外显示的IP是代理的IP地址。

    3.关闭不必要的服务或端口

    这也是服务器运维人员最常用的做法。在服务器防火墙中,只开启使用的端口,比如网站web服务的80端口、数据库的3306端口、SSH服务的22端口等。关闭不必要的服务或端口,在路由器上过滤假IP。

    4.购买高防提高承受能力

    该措施是通过购买高防的盾机,提高服务器的带宽等资源,来提升自身的承受攻击能力。一些知名IDC服务商都有相应的服务提供,比如阿里云、腾讯云等。但该方案成本预算较高,对于普通中小企业甚至个人站长并不合适,且不被攻击时造成服务器资源闲置,所以这里不过多阐述。

    5.限制SYN/ICMP流量

    用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。

    6.网站请求IP过滤

    除了服务器之外,网站程序本身安全性能也需要提升。以小编自己的个人博客为例,使用cms做的。系统安全机制里的过滤功能,通过限制单位时间内的POST请求、404页面等访问操作,来过滤掉次数过多的异常行为。虽然这对DDOS攻击没有明显的改善效果,但也在一定程度上减轻小带宽的恶意攻击。

    2.3 部署DNS智能解析

    通过智能解析的方式优化DNS解析,可以有效避免DNS流量攻击产生的风险。同时,建议您将业务托管至多家DNS服务商。

    • 屏蔽未经请求发送的DNS响应信息
    • 丢弃快速重传数据包
    • 启用TTL
    • 丢弃未知来源的DNS查询请求和响应数据
    • 丢弃未经请求或突发的DNS请求
    • 启动DNS客户端验证
    • 对响应信息进行缓存处理
    • 使用ACL的权限
    • 利用ACL,BCP38及IP信誉功能

    2.4 提供余量带宽

    通过服务器性能测试,评估正常业务环境下所能承受的带宽和请求数。在购买带宽时确保有一定的余量带宽,可以避免遭受攻击时带宽大于正常使用量而影响正常用户的情况。

    3. 服务安全加固

    对服务器上的操作系统、软件服务进行安全加固,减少可被攻击的点,增大攻击方的攻击成本:

    • 确保服务器的系统文件是最新的版本,并及时更新系统补丁。
    • 对所有服务器主机进行检查,清楚访问者的来源。
    • 过滤不必要的服务和端口。例如,对于WWW服务器,只开放80端口,将其他所有端口关闭,或在防火墙上设置阻止策略。
    • 限制同时打开的SYN半连接数目,缩短SYN半连接的timeout时间,限制SYN/ICMP流量。
    • 仔细检查网络设备和服务器系统的日志。一旦出现漏洞或是时间变更,则说明服务器可能遭到了攻击。
    • 限制在防火墙外进行网络文件共享。降低黑客截取系统文件的机会,若黑客以特洛伊木马替换它,文件传输功能将会陷入瘫痪。
    • 充分利用网络设备保护网络资源。在配置路由器时应考虑针对流控、包过滤、半连接超时、垃圾包丢弃、来源伪造的数据包丢弃、SYN阀值、禁用ICMP和UDP广播的策略配置。
    • 通过iptable之类的软件防火墙限制疑似恶意IP的TCP新建连接,限制疑似恶意IP的连接、传输速率。

    4. 业务监控和应急响应

    4.1 关注基础DDoS防护监控

    当您的业务遭受DDoS攻击时,基础DDoS默认会通过短信和邮件方式发出告警信息,针对大流量攻击基础DDoS防护也支持电话报警,建议您在接受到告警的第一时间进行应急处理。

    5.1 Web应用防火墙(WAF)

    针对网站类应用,例如常见的http Flood(CC攻击)攻击,可以使用WAF可以提供针对连接层攻击、会话层攻击和应用层攻击进行有效防御。

    5.2 DDoS防护包

    5.3 DDoS高级防护

    针对大流量DDoS攻击,建议使用阿里云高防IP服务。

    应当避免的事项

    DDoS攻击是业内公认的行业公敌,DDoS攻击不仅影响被攻击者,同时也会对服务商网络的稳定性造成影响,从而对处于同一网络下的其他用户业务也会造成损失。

    计算机网络是一个共享环境,需要多方共同维护稳定,部分行为可能会给整体网络和其他租户的网络带来影响,需要您注意:

    • 避免使用阿里云产品机制搭建DDoS防护平台
    • 避免释放处于黑洞状态的实例
    • 避免为处于黑洞状态的服务器连续更换、解绑、增加SLB IP、弹性公网IP、NAT网关等IP类产品
    • 避免通过搭建IP池进行防御,避免通过分摊攻击流量到大量IP上进行防御
    • 避免利用阿里云非网络安全防御产品(包括但不限于CDN、OSS),前置自身有攻击的业务
    • 避免使用多个账号的方式绕过上述规则

    小结

    目前而言,DDOS攻击并没有最好的根治之法,做不到彻底防御,只能采取各种手段在一定程度上减缓攻击伤害。所以平时服务器的运维工作还是要做好基本的保障,并借鉴本文分享的方案,将DDOS攻击带来的损失尽量降低到最小。

    展开全文
  • 使用Ddos deflate 解决服务器被ddos攻击

    千次阅读 2020-01-08 14:01:49
    分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。 2.编写查看DDOS攻击的...

    1.DDOS概述
    分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
    2.编写查看DDOS攻击的脚本内容

    [root@ localhost ~]# vim ddos-test.sh #写入以下内容
    #!/bin/bash
    netstat -ntu | awk '{print $5}' | cut -d: -f4 | sort | uniq -c | sort -n
    
    [root@ localhost ~]# chmod +x ddos-test.sh
    注释:
    #!/bin/bash
    netstat -ntu | awk '{print $5}' | cut -d: -f1       | sort |  uniq -c   | sort -n
    截取外网IP和端口   截取外网的IP以:为分隔符  |排序 | 排除相同的记录  | 排序并统计
    注:这个脚本在不同的机器上执行时,因为  print $5 取得的结果不一样,所以需要根据实际情况,改变cut -d: -f1 中fn的值。 如果-f1 不行,就使用f4
    cut -d: -f1  #以冒号为分隔符,取第一列的值。
    

    3.模拟DDOS攻击

    安装Apache
    [root@ localhost ~]# yum -y install httpd
    [root@ localhost ~]# systemctl start httpd
    [root@ localhost ~]#  ab -n 100 -c 10 http://192.168.1.63/index.html  #开始攻击
    [root@ localhost ~]# ./ddos-test.sh  #查看已经建立的网络连接数
    

    4.检测是否有DDOS攻击

    执行:
    [root@ localhost ~]# netstat -ntu | awk '{print $5}' | cut -d: -f4 | sort | uniq -c | sort -n
    

    5.如果发现某个IP连接数据上百的链接,说明就有DDOS攻击。安装DDoS deflate

    [root@ localhost ~]# wget http://www.inetbase.com/scripts/ddos/install.sh
    下载DDoS  deflate,保证可以上网
    [root@ localhost ~]# chmod 700 install.sh  	  #添加权限
    [root@ localhost ~]# ./install.sh     		  #执行
    Installing DOS-Deflate 0.6
    Downloading source files.........done
    Creating cron to run script every minute.....(Default setting).....done
    Installation has completed.
    Config file is at /usr/local/ddos/ddos.conf
    Please send in your comments and/or suggestions to zaf@vsnl.com
    

    6.修改配置文件

    [root@ localhost ~]# vim /usr/local/ddos/ddos.conf
    ##### Paths of the script and other files
    PROGDIR="/usr/local/ddos"
    PROG="/usr/local/ddos/ddos.sh"
    IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list"
    CRON="/etc/cron.d/ddos.cron"
    APF="/etc/apf/apf"
    IPT="/sbin/iptables"
    ##### frequency in minutes for running the script
    ##### Caution: Every time this setting is changed, run the script with --cron
    #####          option so that the new frequency takes effect
    FREQ=1
    ##### How many connections define a bad IP? Indicate that below.
    NO_OF_CONNECTIONS=150
    ##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
    ##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
    APF_BAN=1
    改: APF_BAN=1
    为: APF_BAN=0
    ##### KILL=0 (Bad IPs are'nt banned, good for interactive execution of script)
    ##### KILL=1 (Recommended setting)
    KILL=1
    ##### An email is sent to the following address when an IP is banned.
    ##### Blank would suppress sending of mails
    EMAIL_TO=[kill@zmedu.com](mailto:jack@hackerfans.com)  #当IP被屏蔽时给指定邮箱发送邮件报警,换成自己的邮箱即可
    ##### Number of seconds the banned ip should remain in blacklist.
    BAN_PERIOD=600  #禁用IP时间,默认600秒,可根据情况调整
    用户可根据给默认配置文件加上的注释提示内容,修改配置文件。\****
    注:安装后,不需要手动运行任何软件,因为有crontab计划任务,每过一分钟,会行自动执行一次。检查是否有不正常的访问量
    

    7.在另一台centos7上模拟安装apache,并启动DDOS

    [root@ localhost ~]# yum -y install httpd
    [root@ localhost ~]# systemctl start httpd
    [root@ localhost ~]# ab -n 1000 -c 10 http://10.0.0.73/index.html
    

    8.等待一分钟后,在另一台虚拟机查看结果,多了一条规则成功

    返回ddos主机执行
    [root@ localhost ~]# iptables -L -n
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination         
    DROP       all  --  10.0.0.74            0.0.0.0/0           
    
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination         
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination         
    You have mail in /var/spool/mail/root
    
    展开全文
  • 服务器被DDOS攻击该如何防御?

    千次阅读 2021-02-21 10:16:15
    分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。 通常,攻击者将攻击程序...
  • 服务器攻击类型

    千次阅读 2017-09-18 14:15:37
    常见的几种服务器攻击类型 一、CC攻击:CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问...
  • 服务器被SSH暴力攻击的一些记录

    千次阅读 2019-04-08 19:15:54
    清明节在家没事,申请了一台“免费云服务器”(要五天帮人家打一次广告O(∩_∩)O~)。现在都是云服务器时代了,就好像自己有一台电脑,你可以给其装系统,对系统可以各种配置,限制很少可玩性很强。上学那会儿(09年...
  • 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。 如何理解DDoS攻击 ...
  • 网吧攻击,网站攻击,私服服务器攻击,家庭电脑攻击专业DDOS攻击! 绝望者拥有一支强大的专业技术人才队伍,专门成立了技术研发小组,该小组负责跟踪同行国内国际市场,抓准行业发展趁势,开发出更加贴切市场,...
  • 如何防止服务器被大流量攻击

    万次阅读 2013-07-19 09:17:22
    由于DDoS攻击往往采取合法的数据请求技术,再加上傀儡机器,造成DDoS攻击成为目前最难防御的网络攻击之一。据美国最新的安全损失调查报告,DDoS攻击所造成的经济损失已经跃居第一。传统的网络设备和周边安全技术,...
  • UpBit交易所被盗有可能是存储热钱包私钥的服务器受到攻击导致私钥被盗,或者是交易签名服务器受到攻击,而不是控制热钱包API转账的服务器被黑。   从转账的交易(hash为0xa09871A******43c029)来看,该黑客或团伙是...
  • 继上次Redis服务器被劫持风暴(高校云平台(十三):Redis服务器被劫持风波)过后十多天后,病毒对我们总是恋恋不舍,又一次的来到我们身边;有了上次的经验后,这次处理起来虽然也有些波折,但是相对来说迅速很多;...
  • 真是想不到,这种事竟然也生在我身上。大概是在 2017 年底,为了某种(大家懂)便利,松哥购买了个 VULTR 服务器,一个月也就 2.5 刀,除了日常的科学上网需求外,...
  • “凌晨 1 点,接到朋友的求助,网站黑了,访问网站首页会自动定向到一个赌博网站,这个时间点都是该进入梦乡的时间,直接开干。本文分为以下五个部分介绍:入侵情况分析服务器第一次安全处理服务器第二次安全处理...
  • 在本文中,我们研究了不同的基于ICMP的安全攻击对运行在相同硬件平台上的两种流行服务器系统(即Microsoft的Windows Server和Apple的Mac Server OS)的影响,并比较了它们在不同类型的基于ICMP的安全攻击下的性能。
  • 整理服务器防DDOS攻击方案

    千次阅读 2017-06-02 13:11:01
     分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。 ==============
  • 服务器可能遭受攻击汇总

    千次阅读 2016-03-30 16:07:12
    服务器可能遭受的攻击 1.短信消耗  平台注册在不输入验证码的时候即可点击免费获取验证码,黑客如果通过动态IP反复输入大量手机号点击获取验证码。将导致短信短时间内大量消耗。   2.用户名输入的时候查询角色...
  • 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。 通常,攻击...
  • 但是在使用时,和其他托管平台,云服务器同样不可避免地要面临恶意网络攻击的风险,因此做好云服务器恶意攻击的防范工作非常重要且必要。那么云服务器如何避免网络攻击呢? 当企业开始迁移到公有云时,网络攻击...
  • 作为站长经常要建立自己的网站,不管是企业站还是论坛或博客,比较头疼的就是,服务器开启时间越长,遭遇的攻击就越多,经常我在想如何防御?如何用简单的办法永久根除攻击服务器的各种方法. 很多人会说安装一些防御...
  • 分享一个免费CDN平台,免备案,抗攻击,速度快,适用于未备案域名不想暴露服务器IP的用户 大家知道CDN是属于网站加速,视频加速服务为主,目前很多网站在国内打开比较慢,例如北京的服务器可能广东省打开访问就会很...
  • ...特别的,可以设定单一 IP 来源的连接数。 并不是所有的连接都会模块计数;只有那些正在处理的请求(这些请求的头信息已完全读入)所在的连接才会计数。 配置范例 http {
  • 情况:客户网站深夜黑客攻击服务器对外发出大量攻击行为流量,运维人员已经不可登录服务器进行安全操作; 1首先看能不能后台登录经网站管理界面,如果可以的话那就去查看相关日志,确定黑客攻击的范围 一定要尽...
  • 2004年记得是,晚上我带着螺丝刀,晚上2点去机房维护,有ddos攻击警察当贼了,汗,那时华夏黑客同盟天天有攻击,远程连接不上得去机房,机房也不知道ddos是什么只知道流量大,一句话,你中病毒了。电
  • 某一网站平台的客户数据库黑客篡改了,篡改了会员的信息以及金额,包括注单也黑客篡改,导致平台的损失很大,在后台提现的时候,客户才发现会员的数据有异常,觉得不得劲,查询该会员账号的所有投注信息发现了...
  • Linux服务器为什么黑?

    万次阅读 2019-11-04 11:21:24
    因此做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞,主要分五部分展开: 账户和登录安全 账户安全是系统安全的第一道...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 77,104
精华内容 30,841
关键字:

平台服务器被攻击