- 摘要:一次真實的DDoS攻擊防禦實戰
- 標籤:DoS攻擊
第一輪進攻:
時間:下午15點30左右
突然發現公司的web server無法訪問,嘗試遠程登錄,無法連接,呼叫idc重啓服務器。啓動後立即登錄察看,發現攻擊還在繼續,並且apache所有230個進程全部處於工作狀態。由於服務器較老,內存只有512m,於是系統開始用swap,系統進入停頓狀態。於是殺掉所有httpd,稍後服務器恢復正常,load從140降回正常值。
開始抓包,發現流量很小,似乎攻擊已經停止,嘗試啓動httpd,系統正常。察看httpd日誌,發現來自五湖四海的IP在嘗試login.php,但是它給錯了url,那裏沒有login.php,其他日誌基本正常,除limit RST ....之類較多,由於在攻擊中連接數很大,出現該日誌也屬正常。
觀察10分鐘,攻擊停止。
第二輪進攻:
時間:下午17點50分
由於有了前次攻擊經驗,我開始注意觀察web server的狀態,剛好17點50分,機器load急劇升高,基本可以確定,又一輪攻擊開始。
首先停掉了httpd,因爲已經動彈不得,沒辦法。然後抓包,tcpdump -c 10000 -i em0 -n dst port 80 > /root/pkts發現大量數據報湧入,過濾其中IP,沒有非常集中的IP,於是懷疑屬於DDoS接下來根據上次從日誌中過濾得到的可疑地址,比較本次抓包結果,發現很多重複記錄。
分析:
這不是簡單的DDoS,因爲所有httpd進程都被啓動,並且留下日誌,而且根據抓包記錄,每個地址都有完整的三次握手,於是確定,所有攻擊源都是真實存在的,不是虛假的IP。
這樣的可疑IP一共有265個,基本上都是國外的,歐洲居多,尤其西班牙。公司客戶在歐洲的可爲鳳毛麟角,只有丟卒保車了。
採取的措施:
把所有265個IP,統統加入_blank">防火牆,全部過濾ipfw add 550 deny tcp from % to me 80,重新啓動httpd。
觀察了3個小時,ipfw列表中所有ACL的數據報量仍舊持續增長,但是公司的web server已經工作正常。
至此,此次攻擊暫告一段落,不排除稍後繼續發生,但是由於攻擊者使用的都是真實肉雞,同時掌握超過300個肉雞實屬罕見,因此基本上他不能夠在短期內重新發動進攻。