巴哈姆特從27日(日)晚上10:00開始被攻擊,從世界各地而來的 ip,以極大量對伺服器發出request,癱瘓巴哈首頁。結果原來是大陸的商人想用這種方式下廣告宣傳產品。當巴哈姆特拒絕後,幾波的攻擊又接連而來,至今首頁仍然進不去。
像是這種問題,如果發生在自家網站情況,應該要怎麼處理比較好
已邀請的邦友 {{ invite_list.length }}/5
防火牆應該都有設定防止DDos的參數吧?
比方說同一IP在多少秒內連線幾次,就鎖IP多久的設定
可以看攻擊的狀況來調整,比方說攻擊比較頻繁的,就設同一IP在2秒內連線超過10次,就鎖IP 48小時等等。
如果你的Web Server是很重要的,那可以考慮多架幾台,或是採購Server Load Balance的設備來分流。
不過如果公司是小公司,這種攻擊應該沒有什麼針對性,所以關個一天應該就沒事了
大公司的話,就可以申請預算去買好一點的設備,所以或許也可以解決
像巴哈這種Case還滿特殊的,不知道報警有沒有用...>_<
不過對岸也有好人,如果被他們知道他們的同胞有人幹這種事,應該也會很不齒吧?
攻擊太頻繁了,每秒200萬次Session,另外,IP要封鎖得徹底,也不容易,之前看過ITHOME寫的Payeasy事發經過:「2007年12月11日上午 11點,擁有240萬名會員的PayEasy購物網站(康迅數位整合)發現來自中國福建廈門地區的IP,大量比對5千多個會員帳號的密碼,行逕疑似企圖竊取會員的個人資料。正在開主管會議的PayEasy資訊部副總經理陳怡宏,在接獲資訊部門回報後,立即通知總經理林坤正。
過了5分鐘,林坤正確定了危機處理流程,下令以確保會員帳號和資料安全性為第一優先,並拉高警戒層級。中午12點,資訊部門封鎖來自中國福建、廈門的5個可疑IP,並且凍結被惡意比對的5,467個會員帳號,使用者必須重新申請新的密碼才可使用。
中午12點30分,PayEasy確認了惡意攻擊的手法,立即清查受損害的範圍。下午1點,林坤正呈報康迅數位整合所屬母公司台新集團的長官, PayEasy並發簡訊給3萬9千位帳號曾經被比對過的會員,希望會員更新密碼。下午3點,PayEasy至刑事局偵九隊報案,並請求隔日與刑事局共同召開記者會。
不料,到了晚上7點,另一波來自中國的IP,又企圖比對會員帳戶,林坤正面臨擴大封鎖IP範圍的抉擇,晚上8點,在林坤正堅決全面封鎖中國IP的政策下達後,陳怡宏帶著資訊部門把中國的1千多個網段、1億多個IP位址全列入封鎖清單,並且啟動24小時全天候監控機制,避免攻擊者改換不同IP位置來入侵。
http://www.ithome.com.tw/itadm/article.php?c=47677&s=5
說到對案不齒啊,其實他們不齒的部分還蠻嚴重的,我看到這樣也感受到一股無言感吧,其實找到對象,盡然已經是某地下的東西威脅公開平台的東西,而且那地下的東西好像又是美國某偉大廠商的授權物,真的要搞起來應該會異常熱鬧吧
mrweng講的內容好像有很大的八卦啊,讓人相當好奇…
感覺有點類似DoS攻擊,遇到這種情形就只能先把來源IP擋掉吧,等過一陣子再開放。
在非常時期,寧可錯殺一萬,不可放過一個。
要是我,我就給他無預警地暫時關站,關個兩天再說
我站關了,他們就沒得攻了吧..
或許感覺上比較像是鴕鳥心態
不過在找不到解決方案前,或許這是一個不錯的選擇..
這應該是 DDOS
有幾個 IP 來就擋掉幾個 IP 應該是最好的做法
怕是怕網管沒法子做到
只能整台關下來避風頭
這是DDos的攻擊,有些防火牆有防禦DDos功能,就是同一IP request次數太多立即阻擋,這樣對惡意攻擊應該可以有效防止
如果發生在自家網站情況,應該要怎麼處理比較好??
換IP或 domain name有用嗎?? 或者將網頁連結到備用伺服器.
或者,同意他們的廣告,但要求公佈他們的公司網站,咱們也來給他個DDos攻擊?
或直接說他們是那家廠商,公諸於網路,大家群起抵制!!
看到Cisco有一款設備叫做Guard XT 5650-B,他們有一整個產品線是針對這部分
「Anomaly Detection and Mitigation」
Anomaly Detection and Mitigation Appliances
Cisco Traffic Anomaly Detectors
Cisco Guard DDoS Mitigation Appliances
Cisco DDoS Management Systems
Cisco DDoS Multidevice Management System
Anomaly Detection and Mitigation Integrated Switch/Router Service Modules
Cisco Catalyst 6500/Cisco 7600 Router Traffic Anomaly Detector Module
Cisco Catalyst 6500/Cisco 7600 Router Anomaly Guard Module
如果照這邏輯,NBAD(網路行為異常檢測)產品,應該也可以解決這類問題,但實際沒接觸過。
Tries http://www.zdziarski.com/projects/mod_evasive/ if hasn't.
TCP的SYN Flood
SYN Flood是當前最流行的DoS(拒絕服務攻擊)與DDoS(分散式拒絕服務攻擊)的方式之
一,這是一種利用TCP協議缺陷,發送大量偽造的TCP連接請求,從而使得被攻擊方資源耗
盡(CPU滿負荷或記憶體不足)的攻擊方式。
防禦方法是要從系統設定, 比如tcp連接的session上限是2000, 有新的連結session產生時, 而session也己經到達上限, 就drop一條沒有成功的連結session
^^ 希望有看懂說明
↑以上方法行的通嗎?
有電腦高手能解釋一下嘛...
http://www.j2h.tw/bbs/bbs16/140.html
↑站長必讀:防禦DDOS攻擊終極指南
他只有首頁伺服器被ddns攻陷,這是不是意味對方只針對首頁伺服器的ip做攻擊?(不清楚網路架構,所以也很難說...不過我看他論壇還能用說,這似乎表示dns無恙)
這樣最簡單的解法是首頁伺服器要做load balance。最簡單的load balance是用幾台機器用dns伺服器作round robin,這樣有幾台機器,服務就只會中斷幾分之一,而且修改被攻擊伺服器的ip服務也只會中斷幾分之一,影響一天。
封鎖海外IP來保護伺服看來是目前最有效的方法,如果關站不讓sever開機的話,會損失大量的客群瀏覽率,也會造成廣告商的利益損失.但,這是唯一的方法嗎?
如果大陸多幾個這樣的站點攻擊我方的政府網站,國內不就要面臨全面鎖海IP的鎖國政策?
最主要還是要找對方,不管動用任何黑道白道關係,找的出來就解決了.
不然就向對方信心喊話,看對方是不是有人良心發現願意自首,
再不然就等有心有力人士反攻擊,等對方伺服器當機.
如果都沒辦法的話,就只能鎖國了,不過長期下來的話,這個站也會因人潮流失而毀.
iThome鐵人賽
看影片追技術