DDoS 攻击
Distributed Denial of Service(DDoS),即分布式拒绝服务攻击,是指攻击者通过网络远程控制大量僵尸主机向一个或多个目标发送大量攻击请求,耗尽攻击目标服务器的系统资源,导致其无法响应正常的服务请求。
网络层 DDoS 攻击
网络层 DDoS 攻击主要是指攻击者利用大流量攻击拥塞目标服务器的网络带宽,消耗服务器系统层资源,导致目标服务器无法正常响应客户访问的攻击方式。
常见攻击类型包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 以及 DNS/NTP/SSDP/memcached 反射型攻击。
CC 攻击
CC 攻击主要是指通过恶意占用目标服务器应用层资源,消耗处理性能,导致其无法正常提供服务的攻击方式。
常见的攻击类型包括基于 HTTP/HTTPS 的 GET/POST Flood、四层 CC 以及 Connection Flood 等攻击方式。
----------------------------------------------------------------------------------------------------------------------------------------------------------
海外服务器被人搞了,流量峰值只有100多M,如果没有高防服务器也抗不了。
最开始处理就是封IP,封IP就得实时记录服务器流量,这里用到iftop 命令,计划任务定时生成日志再分析是否有异常
如我们有受到SSDP和DNS类型 DDOS,日志里会有这样的记录,过滤出来封IP。
iftop -n -P -t -L 20 -s 1
[root]# iftop -n -P -t -L 20 -s 1
interface: eth0
IP address is:
MAC address is:
Listening on eth0
# Host name (port/service if enabled) last 2s last 10s last 40s cumulative
--------------------------------------------------------------------------------------------
1 10.14.0.x:8065 => 1.59Mb 1.59Mb 1.59Mb 408KB
125.88.17.xx:8998 <= 29.3Kb 29.3Kb 29.3Kb 7.32KB
2 10.14.0.x:https => 184Kb 184Kb 184Kb 45.9KB
115.43.165.:39709 <= 6.48Kb 6.48Kb 6.48Kb > 6.83Kb 6.83Kb 6.83Kb
iftop用法很多,可以看另外一篇文章
后面又受到了 SYN、ACK flood 攻击,如果是专业人士搞事,封IP是封不完的,老实购买高防服务吧,这里也记录一下处理流程。
netstat -nat 分析服务器连接情况。最好监控也加上TCP状态的监控
netstat -ant | grep 'ESTABLISHED' | awk -F " " '{print $5}' | awk -F ":" '{print $1}' | sort -n | uniq -c| sort -t " " -k 1 -nr >> /tmp/est.log
netstat -ant | grep 'SYN' | awk -F " " '{print $5}' | awk -F ":" '{print $1}' | sort -n | uniq -c| sort -t " " -k 1 -nr >> /tmp/syn.log