可怕的攻擊--主機掛點

edited 十月 2013 in 伺服器環境
昨天開始我朋友的主機出現db connection failed的現象,同時間去查看phpMyAdmin則出現too many connects,過十分就又OK了,這時就開始想到是否有人攻擊了,結果一個:
#lsof -i

apache2 4602 www-data 3u IPv6 1202 TCP *:www (LISTEN)
apache2 4602 www-data 8u IPv6 9986 TCP b2d.phc.edu.tw:www->124.115.0.110:59306 (ESTABLISHED)
apache2 4610 www-data 3u IPv6 1202 TCP *:www (LISTEN)
apache2 4610 www-data 8u IPv6 10007 TCP b2d.phc.edu.tw:www->124.115.0.107:59149 (ESTABLISHED)
apache2 4612 www-data 3u IPv6 1202 TCP *:www (LISTEN)
apache2 4612 www-data 8u IPv6 10060 TCP b2d.phc.edu.tw:www->124.115.0.18:32980 (ESTABLISHED)
apache2 4613 www-data 3u IPv6 1202 TCP *:www (LISTEN)
apache2 4613 www-data 8u IPv6 10061 TCP b2d.phc.edu.tw:www->124.115.0.104:36470 (ESTABLISHED)
........................好幾百條連線

先進firewall看看,十分鐘就有幾千條的連線,難怪我的主機會掛點,使用

原始討論: http://twpug.net/x/modules/newbb/viewtopic.php?topic_id=4819

評論

  • edited 一月 2010
    DDOS 攻擊也許需要比較進階的防火牆規則或是產品進行防護吧
  • edited 一月 2010
  • edited 一月 2010
    基本的保護當中...
    先守 DoS , 再來才是守不住的 DDoS ...

    apache 模組可以用 mod_cband 限制流量, mod_limit 限制同一 ip 連線數量.
    不過主要還是針對DoS防護..

    若是 DDoS 則又是另外一回事...

    樓主可以先針對 apache mod_limit, mod_cband 去找一些資料..
  • edited 一月 2010
    如果對iptables規則熟悉的話
    可以試看看
    iptables -A INPUT -p tcp --dport http -m hashlimit --hashlimit 3/s --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name HTTPDOS -j ACCEPT
    iptables -A INPUT -p tcp --dport http -j DROP
  • edited 一月 2010
    mod_evasive 試試看吧
    有時候不是因為大量連線造成的 , apache 也有 backlog 設定
    大量連線不用怕, 怕的是連進來的行程沒辦法短時間內結束掉這才是 ddos , mod_evasive 可以稍微檔一下
    但是會稍微讓網站效能降低就是了
    不過若是有跑 mysql 也可能是因為後端資料庫 lock 太久也可能會造成行程無法結束
    不能單看連線數多寡 , 也要查看看是不是 mysql 那邊有太多 process 有 lock wait 的情形
Sign In or Register to comment.