文章描述了一家公司经历的两次网络攻击,首次攻击导致服务器瘫痪,通过重启和限制进程恢复。第二次攻击时,通过分析日志和抓包确定DDoS攻击,将可疑IP加入防火墙黑名单,成功防御。文章强调了真实案例分享对于提升网络安全的重要性。
每个网站都会面对网络攻击。唯一的区别在于,如何建设防御,以及如何进行警报和响应。
在网络上很难找到关于防御黑客攻击的真实案例。一方面,信息披露可能会引发官司,另一方面,披露这些信息往往会导致不良的财务后果,因此各公司往往不情愿分享相关细节。然而,如果我们完全不披露这些故事,会使其它人在不知情的情况下犯相同的错误。如果我们为建立威胁情报共享体系做出贡献,分享网络安全战场上的真实经验,可以让事情变得更好。
下面是事件过程:
疯狂攻击
第一轮进犯:
时刻:下午15点30摆布
发现公司的web server无法访问,测验远程登录,无法连接,呼叫idc重启服务器。发动后当即登录调查,发现进犯还在持续,并且apache一切230个进程悉数处于作业状况。因为服务器较老,内存只要512m,所以体系开端用swap,体系进入中止状况。所以杀掉一切httpd,稍后服务器恢复正常,load从140降回正常值。
开端抓包,发现流量很小,好像进犯现已中止,测验发动httpd,体系正常。调查httpd日志,发现来自四面八方的IP在测验login.php,可是它给错了url,那里没有login.php,其他日志基本正常,除limit RST ....之类较多,因为在进犯中连接数很大,出现该日志也属正常。
调查10分钟,进犯中止。
第二轮进犯:
时刻:下午17点50分
因为有了前次进犯经历,我开端留意调查web server的状况,刚好17点50分,机器load急剧升高,基本能够断定,又一轮进犯开端。
首要停掉了httpd,因为现已动弹不得,没办法。然后抓包,tcpdump -c 10000 -i em0 -n dst port 80 > /root/pkts发现许多数据报涌入,过滤其间IP,没有十分会集的IP,所以置疑归于DDoS防御接下来依据上次从日志中过滤得到的可疑地址,对比本次抓包成果,发现许多重复记录。
剖析:
这不是简略的DDoS,因为一切httpd进程都被发动,并且留下日志,并且依据抓包记录,每个地址都有完整的三次握手,所以断定,一切进犯源都是实在存在的,不是虚伪的IP。
这样的可疑IP一共有265个,基本上都是国外的,欧洲居多,特别西班牙。公司客户在欧洲的可为百里挑一,只要丢卒保车了。
采纳的办法:
把一切265个IP,通通参加_blank">防火墙,悉数过滤ipfw add 550 deny tcp from % to me 80,从头发动httpd。
调查了3个小时,ipfw列表中一切ACL的数据报量依旧持续增长,可是公司的web server现已作业正常。
至此,这次进犯暂告一段落,不扫除稍后持续发作,可是因为进犯者使用的都是实在肉鸡,同时把握超越300个肉鸡实属罕见,因而基本上他不能够在短期内从头发动进犯。
扫一扫
913
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
