概念:dos攻击,让你的计算机或网络无法提供正常访问。
现象:流量监控系统显示下行的红色曲线,邮件报警,发现web服务器异常,网站访问量瞬间暴跌
常见方式:计算机网络带宽攻击和连通性攻击
排查思路:
先检查了web服务器日志,没有异常。查看防火墙日志和路由器日志,发现部分可疑流量,进而发现攻击时,路由器日志里有大量64字节的数据包,还有大量的“UDP-other”数据包,而web服务器日志还是正常。
解决方式:
SYN洪泛式攻击,利用tcp三次握手,由伪造的IP地址向目标端发送请求报文,而目标端的响应报文永远无法发送,如果有成千上万的这种连接,目标端等待关闭连接的过程会消耗大量的主机资源
1、禁止所有发给目标IP的UDP包,这种做法会让服务器丧失部分功能,如:DNS.
好处:减轻了web服务器的压力,web可以正常工作
弊端:攻击仍然可以到达web,影响网络性能
2、联系上游带宽提供商,暂时限制网站端口的UDP进入流量,降低网络到服务器的流量
3、统计SYN_RECV的状态,发现有大量的tcp同步数据包,但是连接上的却没有几个
[root@xiaoya ~]# netstat -an|grep SYN_RECV|wc -l
1522
或者查看当前最大连接数
[root@xiaoya ~]# netstat -na|grep EST|awk ‘{print $5}‘|cut -d":" -f1,3|sort|uniq -c|sort -n
1 192.168.150.10
2 192.168.150.20
… …
1987 192.168.150.200
明显是收到了dos攻击
4、解决策略
http://blog.csdn.net/taiyang1987912/article/details/40039755
http://www.jb51.net/os/RedHat/1064.html
http://www.2cto.com/os/201410/345782.html
本文出自 “IT--小哥” 博客,请务必保留此出处http://402753795.blog.51cto.com/10788998/1732738
原文地址:http://402753795.blog.51cto.com/10788998/1732738
