iT邦幫忙

0

巴哈姆特遭攻擊,首頁伺服器癱瘓,遇到類似這種情況該怎麼辦 ?

巴哈姆特從27日(日)晚上10:00開始被攻擊,從世界各地而來的 ip,以極大量對伺服器發出request,癱瘓巴哈首頁。結果原來是大陸的商人想用這種方式下廣告宣傳產品。當巴哈姆特拒絕後,幾波的攻擊又接連而來,至今首頁仍然進不去。

像是這種問題,如果發生在自家網站情況,應該要怎麼處理比較好

巴哈姆特公告

看更多先前的討論...收起先前的討論...
魯大 iT邦高手 1 級 ‧ 2008-04-29 16:49:51 檢舉
在去年新光三越在大陸發生的那個事件
到今天的這個網路事件
這些對岸同胞還真是熱情熱過頭了吧..
只要是能挖到錢,無所不用其極
未來或許真的會變成聞大陸色變
skite iT邦大師 5 級 ‧ 2008-04-29 16:54:45 檢舉
大陸什麼沒有,人最多,這種人海戰術他們最拿手的啦~
jease iT邦研究生 1 級 ‧ 2008-04-29 17:25:55 檢舉
這樣是不是要買更好的設備來檔才能解決?!

之前我檢查防火牆攻擊記錄,也發現幾乎來自大陸的ip,
所以就把所有大陸ip的網段全部封鎖掉,最近在檢查時發現攻擊次數大減,
應該有發揮效果~
如果你的網站沒有大陸的客戶或使用者
就把大陸的網段全部擋掉無所謂

突然想到
這堆電腦怎麼不去攻 YouTube 之類的
會更出名才對
davistai iT邦大師 1 級 ‧ 2008-04-29 18:08:43 檢舉
也許目的並不是所謂的要塞廣告,是不是只是練兵而已?
說的也是,幹嘛不去找YouTobe呢?
skite iT邦大師 5 級 ‧ 2008-04-29 18:40:37 檢舉
youtube被google買走了,而google的資安我覺得應該做得不錯,這些人可能攻不進去,再不然就是google本來流量就超大,這些連線數對他們來說根本沒差吧…
據聞,Gamebase也遇到類似DDoS攻擊,每秒200萬次session連線……
yha88800 iT邦好手 3 級 ‧ 2008-04-29 23:54:51 檢舉
今天才知道這事件的
看巴哈姆特如何處理了
skite iT邦大師 5 級 ‧ 2008-04-30 11:22:22 檢舉
看到wordsmith提到發個法輪大功,就讓我想到這篇…
http://big5.minghui.org/mh/articles/2001/12/9/21123.html
huichung iT邦新手 2 級 ‧ 2008-04-30 12:34:44 檢舉
感謝各位提供意見
wordsmith iT邦高手 1 級 ‧ 2008-04-30 14:20:14 檢舉
在Gea-Suan的部落格遊戲基地與巴哈姆特一文中提到解決的過程,摘要如下:

「Gamebase 有快一打的 Web server,是 Alteon AD3 撐不住所以掛掉...最後是在前端放一台 Cisco ASA 5520,然後用 HAProxy 換掉 AD3。但 ASA 5520 不夠力,目前還是請 ISP 先做一些處理。

巴哈姆特因為架構比較單純,所以前端放了 Cisco PIX (型號忘了…) 擋著,放上去後站方也是請 SEEDNet 幫他們先做一些處理。」

看來都是用Cisco的solution,這不是一般網站用得起的,不過一般網站也不會被這樣壓著打就是了。
john651216 iT邦研究生 1 級 ‧ 2008-04-30 16:15:11 檢舉
人海戰術真是厲害
skite iT邦大師 5 級 ‧ 2008-05-01 04:25:44 檢舉
看來遇到這樣的問題,不是暫時關站就是花錢消災了。
jease iT邦研究生 1 級 ‧ 2008-05-01 20:57:23 檢舉
他們也太誇張了吧~為什麼目的不則手段!
不過~從這邊看來也是蠻恐怖的一件事情,
光是一個私服的業者,就可以把台灣第3流量的網站搞掛,
那其他更俱規模、組織的駭客,不就把我們打的死死的....
fairyism iT邦新手 4 級 ‧ 2008-05-02 18:53:32 檢舉
雅虎之前也被DDos攻擊過,
但兩個小時就修好了,
因為雅虎資源大錢多,
Google就更不用說了,
要打下來很困難吧,
至於私服業者應該是用『殭屍電腦』發送
所以主要是在於太多人中木馬電腦變殭屍吧...
才被加以利用吧!
巴哈站長也說了...
這些IP來自世界各地,
所以只封鎖大陸IP是行不通的。
davistai iT邦大師 1 級 ‧ 2008-05-04 21:24:00 檢舉
fairyism大說的有理,其實這種行為有點像恐怖份子的行為,叫甚麼色恐怖呢?不過,對付恐怖活動,如果讓它予取予求,那麼比Google或 Yahoo小的網站不就得小心別太出名,免得被盯上??
john651216 iT邦研究生 1 級 ‧ 2008-05-05 16:05:09 檢舉
把網站經營的有聲有色也是一種錯誤
davistai iT邦大師 1 級 ‧ 2008-05-06 11:10:59 檢舉
真是個美麗的錯誤,是吧??
不知整個事件落幕沒?
skite iT邦大師 5 級 ‧ 2008-05-06 12:44:02 檢舉
正所謂人紅招忌、樹大招風,如果惡意攻擊者能讓這些知名網站癱瘓的話,應該也會有一定的利益可圖吧。
skite iT邦大師 5 級 ‧ 2008-05-07 16:14:34 檢舉
Radware也推出了一款可阻擋DDoS攻擊的交換器,新聞內容摘要如下:

DefensePro 1020能自動阻擋攻擊的同時,不需人工干預下確保放行100%合法流量。

NSS Labs嚴苛的測試包括了混合合法流量的rate-based攻擊測試,而Radware的DefensePro 1020在測試時,能阻擋攻擊的同時,確保放行100%合法流量,效能優異。

NSS Labs技術長Bob Walder表示:「這款安全設備提供優異的攻擊偵測能力,成功阻斷我們所有的攻擊測試。Radware的DefensePro 1020對於所有偵察攻擊、溢出攻擊、單一和分散式的阻斷攻擊(DOS和DDOS攻擊),以及協議模糊的流量,都能非常有效的處理。」

NSS Labs也指出,DefensePro 1020在幾乎所有流量負載和大小封包測試下,都能維持最短的延遲與最優異的效能,從最小的67μs (250Mbps 128 byte封包)到最大的128μs (1Gbps 1,514 byte封包)。NSS Labs的認證報告顯示,當負載增加時,延遲時間只會出現非常微幅的變化 - 這正是DefensePro一項獨特的區別優勢。

完整測試報告請參見:
www.radware.com/defensepro或
www.nsslabs.com/attack-mitigator/Radware-DP-1020  
davistai iT邦大師 1 級 ‧ 2008-05-11 07:54:49 檢舉
不錯,謝謝大家的答案分享^^
skite iT邦大師 5 級 ‧ 2008-05-12 19:57:20 檢舉
iThome也有一篇相關的報導:
http://www.ithome.com.tw/itadm/article.php?c=48757
davistai iT邦大師 1 級 ‧ 2008-05-13 13:32:02 檢舉
看到了,'知名遊戲論壇網站遭中國不肖業者以DDoS攻擊勒贖',
據報導,他們都有報警啦
davistai iT邦大師 1 級 ‧ 2008-05-13 13:35:55 檢舉
結論是ISP加大頻寬可舒緩DDoS攻擊
DDoS攻擊其實就是攻擊者利用分散在各地的電腦主機,發送大量IP封包,藉此癱瘓受駭者的電腦主機。遭受DDoS攻擊的網站無法提供正常的網路服務,成功接通率甚至只有1%以下。中華電信資安辦公室資安技術組長李倫銓表示,因為某一些產業的服務不能容許任何網頁延遲(Delay),成為駭客發動DDoS攻擊勒贖的誘因。
70
jhwang
iT邦好手 10 級 ‧ 2008-04-29 17:28:36
最佳解答

防火牆應該都有設定防止DDos的參數吧?
比方說同一IP在多少秒內連線幾次,就鎖IP多久的設定
可以看攻擊的狀況來調整,比方說攻擊比較頻繁的,就設同一IP在2秒內連線超過10次,就鎖IP 48小時等等。
如果你的Web Server是很重要的,那可以考慮多架幾台,或是採購Server Load Balance的設備來分流。
不過如果公司是小公司,這種攻擊應該沒有什麼針對性,所以關個一天應該就沒事了
大公司的話,就可以申請預算去買好一點的設備,所以或許也可以解決

像巴哈這種Case還滿特殊的,不知道報警有沒有用...>_<
不過對岸也有好人,如果被他們知道他們的同胞有人幹這種事,應該也會很不齒吧?

看更多先前的回應...收起先前的回應...
john651216 iT邦研究生 1 級 ‧ 2008-04-29 17:39:57 檢舉

報警是沒用的,要叫公安抓誰?除非你有確切的證據而兩岸有什麼協議

攻擊太頻繁了,每秒200萬次Session,另外,IP要封鎖得徹底,也不容易,之前看過ITHOME寫的Payeasy事發經過:「2007年12月11日上午 11點,擁有240萬名會員的PayEasy購物網站(康迅數位整合)發現來自中國福建廈門地區的IP,大量比對5千多個會員帳號的密碼,行逕疑似企圖竊取會員的個人資料。正在開主管會議的PayEasy資訊部副總經理陳怡宏,在接獲資訊部門回報後,立即通知總經理林坤正。

過了5分鐘,林坤正確定了危機處理流程,下令以確保會員帳號和資料安全性為第一優先,並拉高警戒層級。中午12點,資訊部門封鎖來自中國福建、廈門的5個可疑IP,並且凍結被惡意比對的5,467個會員帳號,使用者必須重新申請新的密碼才可使用。

中午12點30分,PayEasy確認了惡意攻擊的手法,立即清查受損害的範圍。下午1點,林坤正呈報康迅數位整合所屬母公司台新集團的長官, PayEasy並發簡訊給3萬9千位帳號曾經被比對過的會員,希望會員更新密碼。下午3點,PayEasy至刑事局偵九隊報案,並請求隔日與刑事局共同召開記者會。

不料,到了晚上7點,另一波來自中國的IP,又企圖比對會員帳戶,林坤正面臨擴大封鎖IP範圍的抉擇,晚上8點,在林坤正堅決全面封鎖中國IP的政策下達後,陳怡宏帶著資訊部門把中國的1千多個網段、1億多個IP位址全列入封鎖清單,並且啟動24小時全天候監控機制,避免攻擊者改換不同IP位置來入侵。
http://www.ithome.com.tw/itadm/article.php?c=47677&s=5

Ruei iT邦研究生 1 級 ‧ 2008-04-30 00:34:14 檢舉

說到對案不齒啊,其實他們不齒的部分還蠻嚴重的,我看到這樣也感受到一股無言感吧,其實找到對象,盡然已經是某地下的東西威脅公開平台的東西,而且那地下的東西好像又是美國某偉大廠商的授權物,真的要搞起來應該會異常熱鬧吧

skite iT邦大師 5 級 ‧ 2008-04-30 00:35:42 檢舉

mrweng講的內容好像有很大的八卦啊,讓人相當好奇…

42
skite
iT邦大師 5 級 ‧ 2008-04-29 16:27:24

感覺有點類似DoS攻擊,遇到這種情形就只能先把來源IP擋掉吧,等過一陣子再開放。
在非常時期,寧可錯殺一萬,不可放過一個。

wordsmith iT邦高手 1 級 ‧ 2008-04-29 16:29:34 檢舉

不過,如果像公告所言,是從全世界各地不同的ip發來的,那應該是用傀儡攻擊吧,ip可能鎖不鎖不完。

skite iT邦大師 5 級 ‧ 2008-04-29 16:34:39 檢舉

這樣的話真的是很麻煩耶…

40
魯大
iT邦高手 1 級 ‧ 2008-04-29 16:47:33

要是我,我就給他無預警地暫時關站,關個兩天再說
我站關了,他們就沒得攻了吧..
或許感覺上比較像是鴕鳥心態
不過在找不到解決方案前,或許這是一個不錯的選擇..

32
海綿寶寶
iT邦超人 1 級 ‧ 2008-04-29 17:27:09

這應該是 DDOS

有幾個 IP 來就擋掉幾個 IP 應該是最好的做法

怕是怕網管沒法子做到

只能整台關下來避風頭

28
john651216
iT邦研究生 1 級 ‧ 2008-04-29 17:37:41

這是DDos的攻擊,有些防火牆有防禦DDos功能,就是同一IP request次數太多立即阻擋,這樣對惡意攻擊應該可以有效防止

28
davistai
iT邦大師 1 級 ‧ 2008-04-29 18:07:11

如果發生在自家網站情況,應該要怎麼處理比較好??
換IP或 domain name有用嗎?? 或者將網頁連結到備用伺服器.
或者,同意他們的廣告,但要求公佈他們的公司網站,咱們也來給他個DDos攻擊?
或直接說他們是那家廠商,公諸於網路,大家群起抵制!!

jhwang iT邦好手 10 級 ‧ 2008-04-29 18:25:48 檢舉

如果他攻擊的是Domain,換IP可能沒用;換Domain連一般使用者都找不到了;如果用DDos反擊,那就變得和他們一樣啦,因為你也要去製造很多台Zombie,會造成更多受害者;抵制倒是個方法,公佈在大陸最知名的網站,讓他們去公評,只是效果如何就不知道了。

34
lacanG
iT邦研究生 4 級 ‧ 2008-04-29 23:14:38

看到Cisco有一款設備叫做Guard XT 5650-B,他們有一整個產品線是針對這部分
「Anomaly Detection and Mitigation」
Anomaly Detection and Mitigation Appliances
Cisco Traffic Anomaly Detectors
Cisco Guard DDoS Mitigation Appliances
Cisco DDoS Management Systems
Cisco DDoS Multidevice Management System
Anomaly Detection and Mitigation Integrated Switch/Router Service Modules
Cisco Catalyst 6500/Cisco 7600 Router Traffic Anomaly Detector Module
Cisco Catalyst 6500/Cisco 7600 Router Anomaly Guard Module

如果照這邏輯,NBAD(網路行為異常檢測)產品,應該也可以解決這類問題,但實際沒接觸過。

24
b6s
iT邦新手 4 級 ‧ 2008-04-30 01:53:59
wordsmith iT邦高手 1 級 ‧ 2008-04-30 10:25:31 檢舉

像是放個法輪功大好,或是FREE TIBET...嗯,這招還蠻有趣的耶

john651216 iT邦研究生 1 級 ‧ 2008-04-30 16:12:58 檢舉

TO: wordsmith
放法輪功大好? 你不要被對岸知道你是誰,不然你這輩子都不要去對岸

32
aqr199
iT邦新手 2 級 ‧ 2008-04-30 08:59:07

TCP的SYN Flood
SYN Flood是當前最流行的DoS(拒絕服務攻擊)與DDoS(分散式拒絕服務攻擊)的方式之
一,這是一種利用TCP協議缺陷,發送大量偽造的TCP連接請求,從而使得被攻擊方資源耗
盡(CPU滿負荷或記憶體不足)的攻擊方式。

防禦方法是要從系統設定, 比如tcp連接的session上限是2000, 有新的連結session產生時, 而session也己經到達上限, 就drop一條沒有成功的連結session

^^ 希望有看懂說明

20
richardhsieh
iT邦研究生 4 級 ‧ 2008-04-30 11:16:15

能先擋掉的就先擋
再來向ISP申訴,有些ISP會幫你擋掉的

10
huichung
iT邦新手 2 級 ‧ 2008-05-01 22:02:25

只好先關個一陣子,,

18
門神JanusLin
iT邦超人 1 級 ‧ 2008-05-02 08:15:13

DDoS攻擊

頻寬大者贏之

設備次之

26
fairyism
iT邦新手 4 級 ‧ 2008-05-02 17:49:32
  1. 再架設一台伺服器, 將網站移往新的這台伺服器, ip 當然不一樣.
    然後在原網站張貼連結路徑.
  2. 在新網站加入要加入該網站都需先通過驗證碼驗證的一個機制. 除非他們發動幾萬幾億的人親自點這個新的網站, 不然這應該是個不錯的方法 ^^

↑以上方法行的通嗎?
有電腦高手能解釋一下嘛...

http://www.j2h.tw/bbs/bbs16/140.html
↑站長必讀:防禦DDOS攻擊終極指南

26
fillano
iT邦超人 1 級 ‧ 2008-05-04 06:15:11

他只有首頁伺服器被ddns攻陷,這是不是意味對方只針對首頁伺服器的ip做攻擊?(不清楚網路架構,所以也很難說...不過我看他論壇還能用說,這似乎表示dns無恙)
這樣最簡單的解法是首頁伺服器要做load balance。最簡單的load balance是用幾台機器用dns伺服器作round robin,這樣有幾台機器,服務就只會中斷幾分之一,而且修改被攻擊伺服器的ip服務也只會中斷幾分之一,影響一天。

22
slongneu
iT邦新手 4 級 ‧ 2008-05-06 01:10:02

封鎖海外IP來保護伺服看來是目前最有效的方法,如果關站不讓sever開機的話,會損失大量的客群瀏覽率,也會造成廣告商的利益損失.但,這是唯一的方法嗎?
如果大陸多幾個這樣的站點攻擊我方的政府網站,國內不就要面臨全面鎖海IP的鎖國政策?
最主要還是要找對方,不管動用任何黑道白道關係,找的出來就解決了.
不然就向對方信心喊話,看對方是不是有人良心發現願意自首,
再不然就等有心有力人士反攻擊,等對方伺服器當機.
如果都沒辦法的話,就只能鎖國了,不過長期下來的話,這個站也會因人潮流失而毀.

我要發表回答

立即登入回答