ddos应急处理_网站遭遇CC及DDOS攻击紧急处理方案

最新推荐文章于 2024-04-27 17:36:00 发布
最新推荐文章于 2024-04-27 17:36:00 发布
阅读量297 收藏
点赞数
文章标签: ddos应急处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39964391/article/details/111558168
版权

检测访问是否是CC攻击的命令:

80口为网站的访问端口,可以根据实际情况进行修改

# netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20 | netstat -ant |awk '/:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A[i],i}' |sort -rn|head -n20

如改成8888

netstat -anlp|grep 8888|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20 | netstat -ant |awk '/:8888/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A[i],i}' |sort -rn|head -n20

找出访问比较多的IP,IP地址为荷兰(明显不是企业所在地,直接封堵)

6 139.162.153.143

3 139.162.218.121

对可疑IP进行封堵

封网段

iptables -I INPUT -s 139.162.153.143/16 -j DROP

iptables -I INPUT -s 139.162.218.121/16 -j DROP

iptables -I INPUT -s 205.177.226.156/16 -j DROP

保存规则,保证下次启动规则适用

service iptables save

检测是否是syn flooding DDOS攻击

检测syn_recv命令

检查连接数增多,并且SYN_RECV 连接特别多:

# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

TIME_WAIT 16855

CLOSE_WAIT 21

SYN_SENT 99

FIN_WAIT1 229

FIN_WAIT2 113

ESTABLISHED 8358

SYN_RECV 48965

CLOSING 3

LAST_ACK 313

根据经验,正常时检查连接数如下:

# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

TIME_WAIT 612

CLOSE_WAIT 2

FIN_WAIT1 3

FIN_WAIT2 535

ESTABLISHED 257

SYN_RECV 4

根据netstat查看到的对方IP特征并进行封堵:

# netstat -na |grep SYN_RECV|more

对可疑IP进行封堵封堵

常用命令

封单个IP的命令是:

iptables -I INPUT -s 211.1.0.0 -j DROP

封IP段的命令是:

iptables -I INPUT -s 211.1.0.0/16 -j DROP

iptables -I INPUT -s 211.2.0.0/16 -j DROP

iptables -I INPUT -s 211.3.0.0/16 -j DROP

封整个B段的命令是:

iptables -I INPUT -s 211.0.0.0/8 -j DROP

封几个段的命令是:

iptables -I INPUT -s 61.37.80.0/24 -j DROP

iptables -I INPUT -s 61.37.81.0/24 -j DROP

参考:http://drops.wooyun.org/tips/2457

weixin_39964391
关注
应急响应篇】DDOS攻击应急响应指南
大河之犬的博客
05-25 2021
将排查过程中整理出的 IP 地址进行梳理、归类,方便日后溯源。由于在 DDoS 攻击中,攻击者多使用僵尸网络,因此为溯源带来很大难度。建议在遭受 DDoS 攻击时及时报案,并保留相关日志、攻击记录等。对可记录流量信息的设备进行排查,确定攻击时间,以便后续依据此时间进行溯源分析,并对攻击者行为、攻击方法进行记录。确认在 DDoS 攻击中受到影响的服务和带宽信息,以便后续排查并采取相应措施缓解。1、了解 DDoS 事件发生的时间。2、了解 DDoS 攻击的影响范围。
如何防止DDOS攻击CC攻击???
来杯咖啡的博客
08-16 308
总体来说,DDoSCC攻击防护需要综合多种技术手段和策略,包括硬件、软件、网络架构和操作流程等方面的改进和优化。2. 使用防火墙和入侵检测系统(IDS):配置防火墙来过滤和限制恶意流量的访问,同时使用IDS来检测并阻止潜在的攻击行为。1. 增加带宽和资源:通过增加网络带宽和服务器资源,可以扩大系统的吞吐能力,从而能够承受更大规模的攻击流量。8. 合理的网络架构设计:采用可扩展和弹性的网络架构,便于快速应对攻击,并减小攻击对系统的影响范围。
ddos应急处理_如何防御服务器被ddos,防护经验
weixin_35067558的博客
12-18 581
要懂ddos防护的就首先必须知道的是ddos攻击方式,其大概可以分为三大类:以力取胜,也就是大量数据包从互联网的各个角落涌入,阻塞了IDC门户,使各种功能强大的硬件防御系统,快速高效的应急流程变得无用;以巧取胜,难于检测,每隔几分钟甚至仅发送一个软件包,就可以让配置服务器不再响应;最后就是两种情况的混合情况了。必看的ddos防护经验介绍,将告诉你秘诀哦。了解了攻击方式,也许你大概就知道怎么去防护了...
网站遭遇DDOS简易处理
ppppppppp2009的专栏
08-19 1133
网站遭遇DDOS攻击 netstat -an | grep ESTABLISHED 我们看到有大量的链接存在着,并且都是ESTABLISHED状态 for i in `netstat -an | grep -i ‘:80 ‘|grep ‘EST’ | awk ‘{print $5}’ | cut -d : -f 1 | sort | uniq -c | awk ‘{if($1 > 50) {
应急CC攻击排查(Linux环境)
一个很酷的人
12-11 669
CC攻击就是利用大量代理服务器对目标计算机发起大量连接,导致目标服务器资源枯竭造成拒绝服务。那么如何判断查询CC攻击呢? 本文主要介绍了一些Linux下判断CC攻击的命令。 查看所有80端口的连接数 netstat -nat|grep -i "80"|wc -l 对连接的IP按连接数量进行排序 netstat -anp | grep 'tcp\|udp' | awk '{print $5...
服务器被CC攻击怎么办
Sousuyi的博客
07-15 299
1、取消域名绑定取消域名绑定后Web服务器的CPU马上恢复正常状态,通过IP进行访问连接一切正常。但是不足之处也很明显,取消或者更改域名对于别人的访问带来了不便,另外,对于针对IP的CC攻击它是无效的,就算更换域名攻击者发现之后,他也会对新域名实施攻击。2、更改Web端口一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,我们可以修改Web端口达到防CC攻击的目的。3、IIS屏蔽IP我们通过命令或在查看日志发现了CC攻击的源IP,就可以在IIS中设置屏蔽该IP
ddos应急处理_DDOS攻击应急响应预案
weixin_39585070的博客
12-20 2777
DDoS:(Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。达到阻止目标业务运转和系统瘫痪的目的。流量型(直接)SYN\ACK\ICMP\UDP\Connection FLOOD等告警流量型(反射)NTP\DNS\SSDP\ICMP FLOOD等告警CC流...
网络安全-DoS与DDoS攻击原理(TCP、UDP、CC攻击等)与防御_简述dos和ddos的攻击原理和防范措施
最新发布
2401_84300128的博客
04-27 1029
DoS,是的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。一般是使用一台计算机进行攻击。
如何预防ddos, cc等流量攻击?
m0_74894510的博客
12-27 408
DdoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难,如何采取措施有效的应对呢? 下面是一些对付它的常规方法: 1、定期扫描 要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重
DDOS防解决方案操作与维护培训
12-27
DDoS攻击是一种常见的网络攻击手段,随着计算机技术和网络技术的发展,DDoS攻击也逐渐演变成了当下网络安全领域中需要特别关注和防范的问题。DDoS攻击全称是分布式拒绝服务攻击,由DoS攻击发展而来,是指攻击者利用...
网络安全应急响应----4、DDoS攻击应急响应
七天
03-20 8918
文章目录一、DDoS攻击简介二、DDoS攻击方法1、消耗网络带宽资源1.1、ICMP Flood (ICMP洪水攻击)1.2、UDP Flood (UDP洪水攻击)2、消耗系统资源2.1、TCP Flood2.2、 SYN Flood3、消耗应用资源3.1、HTTP Flood (CC攻击)3.2、慢速攻击4、消耗网络带宽资源的其他DDoS4.1、NTP Reflection Flood4.2、DNS Reflection Flood4.3、SSDP Reflection Flood4.4、SNMP Ref
网站ddos攻击了,选用CDN高防是不是比高防IP更有效?
lw1207的博客
02-26 239
在网络信息化发达的时代,信息化给我们的生活带来很大的帮助,但是出现了一些灰色的产业,比如网络恶意攻击等等,其中最常见的就是DDOS攻击CC攻击,DDoS攻击是以带宽消耗为主要是以网络攻击方法。一般来说,攻击者很难独立防御,他们必须找到第三方DDoS保护服务来协助防御。目前,市场上主要有两种防护方案,一种是基于CDN的DDoS防御方案,称为CDN高防方案;另一种是基于超高带宽和超大DDoS清洗能力的高防护节点,称为高防IP防护方案。 高防IP方案主要有三个特点: 1、DDoS防护效果好:根据不同客户的需求,
服务器被DDOSCC攻击了怎么办,要如何防御
qq_39885150的博客
08-28 374
服务器被DDOSCC攻击了怎么办,要如何防御
网站DDOS攻击怎么办?防护经验!
Srsshier的博客
11-29 1142
现在很多的下一代防火墙都带有DDOS攻击防治的功能,在设备出口处设置阈值针对于业务类型的阈值,比如门户型网站服务器,用户登录之后需要做的只是一些图片、文档的查阅,每一个IP向服务器发送的流量是很有限的,可能只有几十K的速率,那这时我们就可以针对于每一个访问IP设置一个阈值,如果一个IP接入服务器的速率超过100K,就将其暂时放入黑名单中,拒绝其后续的访问,然后在一段时间之后进行黑名单解除。所以有时候我们用的高防DNS也是很重要的,这也是为何一些大型网站为何买几千一年的DNS服务的原因。
遭受DDoS攻击后如何向网监报案
qq_39996446的博客
11-16 9006
如果您的业务遭受大量 DDoS 攻击,一方面您可以采用 DDoS 高防 IP 服务来保障您的业务稳定,另一方面建议您向网监部门进行报案。 报案流程 遭受 DDoS 攻击后,您应该尽快向当地网监部门进行报案,并根据网监部门要求提供相关信息。 网监部门判断是否符合立案标准,并进入网监处理流程。 说明 具体立案标准请向您当地的网监部门进行咨询。 正式立案后,阿里云配合网监部门接口人提供攻击取证。 阿里云能提供什么相关证据? 您的报案在网监部门立案后,阿里云将配合网监部门提供以下协助: 阿里云会配合网监部门,向网
ddos应急处理_DDoS攻击应急体系知多少?
weixin_39844901的博客
12-20 508
阅读:4,314本文会涉及到DDoS攻击应急过程中的整体策略、应急流程以及针对一些典型攻击的具体分析和应对措施,旨在分析如何在遭受DDoS攻击的时候更高效的组织应急工作。所以并不会深入到每一种特定DDoS攻击的的具体攻击方法或是应对措施的具体配置。0×00、引言近年来DDoS攻击事件可谓是层出不穷,从各安全厂商的DDoS分析报告中也不难看出,DDoS攻击的规模及趋势正在成倍的增长。由于攻击的成本不...
网站DDoS攻击怎么办?菜鸟站长之家教你这三招帮你防止、减轻DDoS攻击
菜鸟站长之家
11-16 932
最近菜鸟站长之家遇到黑客的DDoS攻击来,导致域名www.cnzzzj.com资源被耗尽,服务、应用程序或网站崩溃,相信企业都对之深恶痛绝。今天给大家介绍一些有效的防止DDoS攻击的技术和方法,虽然很难完全阻止DDoS攻击的发生,但也能在一定程度上帮助抵御DDoS攻击,并减轻其造成的危害。 首先,我们可以让攻击者更难关闭你的网站或应用程序,这就是DDoS预防技术,一般来说DDoS预防机制有两种,常规预防措施和过滤技术。 【第一招:常规预防措施】 1. 使用防火墙。防火墙无法完全保障应用程序或.
服务器被ddos攻击了怎么处理
weixin_67757219的博客
12-16 3412
总结来说,当服务器被DDOS攻击时,应尽快确定情况并断开服务器与互联网的连接,向专业机构寻求帮助,对服务器进行安全检查,并采取预防措施避免再次遭受攻击。在应对DDOS攻击时,应保持冷静,及时采取有效措施,以确保网站安全。攻击者往往会在DDOS攻击中植入恶意软件,因此,服务器被攻击后应立即进行安全检查,以确保服务器没有被植入恶意软件。因此,建议使用复杂的密码,并定期更改密码,以防止攻击者破解密码。第二步,如果确实被DDOS攻击了,应立即断开服务器与互联网的连接,以防止攻击者继续攻击。
网站DDos怎么解决(9招教你搞定DDos被攻击)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
01-06 3335
DDos攻击是一种针对网站的恶意攻击,会通过大量的垃圾流量来阻止用户访问网站,以达到某种目的。因此,解决DDos攻击的最有效方法就是将它们从你的网站中防止和遏制。下面介绍了一些有效应对DDos攻击的方法: 1. 基本上所有可能引起DDos攻击的因素都在你的主机上,所以要充分利用你主机上所提供的安全功能。这包括使用防火墙、安装安全软件、密码保护、IP地址过滤、文件权限及其它安全功能。同时,要保证你所使用的所有软件都是官方发布并更新过补丁版本; 2. 要避免外部众多无意义请求。可考虑采用CDN或者Web App
CC攻击详解:原理、防范与识别
CC攻击,全称为"Connection flood"(连接洪水)攻击,是分布式拒绝服务(Distributed Denial of Service, DDoS)攻击的一种变体,其主要针对网站的服务器资源消耗,而非直接的流量冲击。CC攻击的特点在于它并不依赖于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值