了解 netstat 列表并防止 DDOS
Understanding netstat listing and protect against DDOS
我的服务器被攻击了!
当我使用netstat -anp | grep :80
我得到以下清单:
tcp 0 0 162.167.98.11:80 5.189.156.224:58211 SYN_RECV -
tcp 0 0 162.167.98.11:80 5.189.156.224:39608 SYN_RECV -
tcp 0 0 162.167.98.11:80 5.189.156.224:33261 SYN_RECV -
tcp 0 0 162.167.98.11:80 5.189.156.224:56951 SYN_RECV -
这样有几十行
请帮助我理解此列表以及如何保护服务器免受发出大量请求的 IP 的影响。我正在使用针对 DDOS 攻击配置的 fail2ban,但看起来我遗漏了一些东西。
服务器是虚拟机运行Ubuntu12.04
Fail2ban 只会对产生某种错误的客户端做出反应。
这可能来自 Slowloris 攻击。它的工作原理是打开一个连接,并通过不断向请求中添加内容来尝试尽可能长时间地保持打开状态。然后其他此类连接正在打开并保持打开状态。
所以可能的解决方案是限制每个客户端的打开连接数。
这可以直接使用 iptables 完成,如前所述 here 或使用适当的 apache 模块(如果这是您的网络服务器)。
明确为此目的而设计的一个是 mod_antiloris, another one that is more configurable is mod_qos。
最后,我按照本服务器安全教程设法阻止了攻击:https://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-part-1-basics#comment-1091
我的服务器被攻击了!
当我使用netstat -anp | grep :80
我得到以下清单:
tcp 0 0 162.167.98.11:80 5.189.156.224:58211 SYN_RECV -
tcp 0 0 162.167.98.11:80 5.189.156.224:39608 SYN_RECV -
tcp 0 0 162.167.98.11:80 5.189.156.224:33261 SYN_RECV -
tcp 0 0 162.167.98.11:80 5.189.156.224:56951 SYN_RECV -
这样有几十行
请帮助我理解此列表以及如何保护服务器免受发出大量请求的 IP 的影响。我正在使用针对 DDOS 攻击配置的 fail2ban,但看起来我遗漏了一些东西。
服务器是虚拟机运行Ubuntu12.04
Fail2ban 只会对产生某种错误的客户端做出反应。
这可能来自 Slowloris 攻击。它的工作原理是打开一个连接,并通过不断向请求中添加内容来尝试尽可能长时间地保持打开状态。然后其他此类连接正在打开并保持打开状态。
所以可能的解决方案是限制每个客户端的打开连接数。
这可以直接使用 iptables 完成,如前所述 here 或使用适当的 apache 模块(如果这是您的网络服务器)。
明确为此目的而设计的一个是 mod_antiloris, another one that is more configurable is mod_qos。
最后,我按照本服务器安全教程设法阻止了攻击:https://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-part-1-basics#comment-1091