|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體���,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作�,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)�、存儲(chǔ)資源�����、數(shù)據(jù)資源�、信息資源、知識(shí)資源���、專家資源�、大型數(shù)據(jù)庫�����、網(wǎng)絡(luò)�����、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享����,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 第一輪進(jìn)攻:
時(shí)間:下午15點(diǎn)30左右
突然發(fā)現(xiàn)公司的web server無法訪問���,嘗試遠(yuǎn)程登錄,無法連接����,呼叫idc重啟服務(wù)器。啟動(dòng)后立即登錄察看����,發(fā)現(xiàn)攻擊還在繼續(xù),并且apache所有230個(gè)進(jìn)程全部處于工作狀態(tài)����。由于服務(wù)器較老,內(nèi)存只有512m�����,于是系統(tǒng)開始用swap���,系統(tǒng)進(jìn)入停頓狀態(tài)����。于是殺掉所有httpd,稍后服務(wù)器恢復(fù)正常�,load從140降回正常值。
開始抓包�,發(fā)現(xiàn)流量很小,似乎攻擊已經(jīng)停止�����,嘗試啟動(dòng)httpd�����,系統(tǒng)正常��。察看httpd日志�,發(fā)現(xiàn)來自五湖四海的IP在嘗試login.php����,但是它給錯(cuò)了url,那里沒有l(wèi)ogin.php�,其他日志基本正常�,除limit RST ....之類較多���,由于在攻擊中連接數(shù)很大���,出現(xiàn)該日志也屬正常。
觀察10分鐘���,攻擊停止�����。
第二輪進(jìn)攻:
時(shí)間:下午17點(diǎn)50分
由于有了前次攻擊經(jīng)驗(yàn),我開始注意觀察web server的狀態(tài)�����,剛好17點(diǎn)50分����,機(jī)器load急劇升高,基本可以確定�����,又一輪攻擊開始����。
首先停掉了httpd,因?yàn)橐呀?jīng)動(dòng)彈不得�,沒辦法。然后抓包����,tcpdump -c 10000 -i em0 -n dst port 80 > /root/pkts發(fā)現(xiàn)大量數(shù)據(jù)報(bào)涌入,過濾其中IP�,沒有非常集中的IP,于是懷疑屬于DDoS接下來根據(jù)上次從日志中過濾得到的可疑地址��,比較本次抓包結(jié)果�,發(fā)現(xiàn)很多重復(fù)記錄。
分析:
這不是簡(jiǎn)單的DDoS�����,因?yàn)樗衕ttpd進(jìn)程都被啟動(dòng)����,并且留下日志��,而且根據(jù)抓包記錄,每個(gè)地址都有完整的三次握手�����,于是確定�����,所有攻擊源都是真實(shí)存在的��,不是虛假的IP�����。
這樣的可疑IP一共有265個(gè)���,基本上都是國外的��,歐洲居多�����,尤其西班牙�����。公司客戶在歐洲的可為鳳毛麟角,只有丟卒保車了���。
采取的措施:
把所有265個(gè)IP���,統(tǒng)統(tǒng)加入_blank">防火墻,全部過濾ipfw add 550 deny tcp from % to me 80��,重新啟動(dòng)httpd��。
觀察了3個(gè)小時(shí)���,ipfw列表中所有ACL的數(shù)據(jù)報(bào)量仍舊持續(xù)增長(zhǎng)����,但是公司的web server已經(jīng)工作正常���。
至此,此次攻擊暫告一段落���,不排除稍后繼續(xù)發(fā)生����,但是由于攻擊者使用的都是真實(shí)肉雞,同時(shí)掌握超過300個(gè)肉雞實(shí)屬罕見����,因此基本上他不能夠在短期內(nèi)重新發(fā)動(dòng)進(jìn)攻。
網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中���,正因如此��,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗(yàn)―從硬件上����、軟件上�����、所用標(biāo)準(zhǔn)上......����,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì)��,對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑���。
|
溫馨提示:喜歡本站的話����,請(qǐng)收藏一下本站���!
