IIS流量攻擊之類ddos代碼攻擊

IIS流量攻擊之ddos代碼攻擊

                                                   作者：edwin

服務器：centos

一、狀況描述：

服務器間隔性的ping不通，攻擊期間不能提供任何服務，netsat –antlp 看到大量的半連接包。情況如下：

輸入netstat –antlp 看到如下狀況

Top看到如下情況

工作期間cpu佔用率%90-%100  可以通過命令wacth –n 1 隔一秒鐘觀察網卡流量，令人非常鬱悶。輸入、/etc/init.d/httpd stop  可以看到服務器就通了，打開之後又出現這種情況可以判定apache是這次攻擊事件的主要當事者。尋求解決辦法。

二、解決方案的設定

起先用的是最原始的辦法，一個一個的關站，最後發現效果不太，由於站太多，又不能開一個等一天，等開的差不多了，有開始頻繁掉線了，極度鬱悶……

於是開始排查網站日誌，輸入cd /var/log/httpd/ ; vi  access_****.log

並沒有得到有用的信息，/var/log/messge 也是毫無所獲，於是硬着頭皮一條一條的日誌往下看，終於在error_log得到以下信息

進入相應目錄

得到如下圖所示的信息

經過翻譯得到如下代碼

通過這張圖可以很明顯看出攻擊手段，好了分析完畢

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　edwin

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　20101106