❶ linux系統怎麼防止DDOS攻擊
Linux 防止DDOS方法
方法一:先說這個簡單效果不大的方法,Linux一般是apache做web服務軟體,一般來說按照訪問習慣全是設置的80埠。你可以改變一下服務埠,編輯httpd.conf文件,Linux下不清楚路徑可以
find / -name httpd.conf
然後
vi $path$/httpd.conf
找到裡面的
listen:80
更改為
listen:8080
重新啟動apache,這樣你的站點就運行在8080埠下了。
方法二:,方法一中攻擊者如果對你足夠關注的話還是會再攻擊你的8080埠,所以還是會死得很慘,那麼如何更有效的阻止攻擊呢。這就要用到iptables了,安裝一下iptables然後再配置一下。
iptables下載:
http://www.netfilter.org/downloads.html
下載文件的名字一般是iptables-1.*.*.tar.bz2
下載完後解壓縮
tar -xvjf ./iptables-1.*.*.tar.bz2 -C /usr/src
我是解壓到了/usr/src里
然後
cd /usr/src/iptables-1.*.*
安裝:
/bin/sh -c make
/bin/sh -c make install
可以用iptables -V來檢查安裝是否正確。
如果有問題用這個命令修復一下
cp ./iptables /sbin
iptables的使用:
安裝了iptables後先關閉ICMP服務
iptables -A OUTPUT -p icmp -d 0/0 -j DROP
這個是做什麼的呢,最簡單直觀的說就是你伺服器上的ip不能被ping到了,這個能防止一部分攻擊。
比如你跟你的ISP聯系了知道了ddos的來源ip 200.200.200.1可以用下面這個命令來阻止來自這個ip的數據流
iptables -A INPUT -s 200.200.200.1 -j DROP
說明:這個命令里200.200.200.1/24 200.200.200.* 格式都是有效的。
執行完後你輸入命令
iptables -L
會看到下面的結果
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 200.200.200.1 anywhere
你每輸入一個iptables命令都會有個對應的num號,比如上面你執行的這個是第一次執行的那麼這個對應的input id就是1,刪除這個限制只要
iptables -D INPUT 1就可以了。
因為在DDOS這個過程里很多ip是偽造的,如果你能找到他們的來源的mac地址(你太厲害了,太有關系了)那麼你還可以用這個命令來禁止來自這個mac地址的數據流:
iptables -A INPUT --mac-source 00:0B:AB:45:56:42 -j DROP
以上是幾個簡單應用,關於一些別的應用我下面給出的英文文獻里還有,大家可以根據自己的情況來利用iptables防止DDOS攻擊。
❷ 如何在Linux上用命令查詢是否被DDOS攻擊
伺服器出現緩慢的狀況可能由很多事情導致,比如錯誤的配置,腳本和差的硬體。但是有時候它可能因為有人對你的伺服器用DoS或者DDoS進行洪水攻擊。
如何在Linux上使用netstat命令查證DDOS攻擊
DoS攻擊或者DDoS攻擊是試圖讓機器或者網路資源不可用的攻擊。這種攻擊的攻擊目標網站或者服務通常是託管在高防伺服器比如銀行,信用卡支付網管,甚至根域名伺服器,DOS攻擊的實施通常迫使目標重啟計算機或者消耗資源,使他們不再提供服務或者妨礙用戶,訪客訪問。
在這篇小文章中,你可以知道在受到攻擊之後如何在終端中使用netstat命令檢查你的伺服器。
一些例子和解釋
netstat -na顯示所有連接到伺服器的活躍的網路連接netstat -an | grep :80 | sort只顯示連接到80段口的活躍的網路連接,80是http埠,這對於web伺服器非常有用,並且對結果排序.對於你從許多的連接中找出單個發動洪水攻擊IP非常有用netstat -n -p|grep SYN_REC | wc -l這個命令對於在伺服器上找出活躍的SYNC_REC非常有用,數量應該很低,最好少於5.在dos攻擊和郵件炸彈,這個數字可能非常高.然而值通常依賴於系統,所以高的值可能平分給另外的伺服器.netstat -n -p | grep SYN_REC | sort -u列出所有包含的IP地址而不僅僅是計數.netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'列出所有不同的IP地址節點發送SYN_REC的連接狀態netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n使用netstat命令來計算每個IP地址對伺服器的連接數量netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n列出使用tcp和udp連接到伺服器的數目netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr檢查ESTABLISHED連接而不是所有連接,這可以每個ip的連接數netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1顯示並且列出連接到80埠IP地址和連接數.80被用來作為HTTP
如何緩解DDoS攻擊
當你發現攻擊你伺服器的IP你可以使用下面的命令來關閉他們的連接:
iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT
請注意你必須用你使用netstat命令找到的IP數替換$IPADRESS
在完成以上的命令,使用下面的命令殺掉所有httpd連接,清除你的系統,然後重啟httpd服務。
killall -KILL httpd service httpd start #For Red Hat systems /etc/init/d/apache2 restar
Linux系統用netstat命令查看DDOS攻擊具體命令用法如下:
代碼如下:netstat -na
顯示所有連接到伺服器的活躍的網路連接
代碼如下:netstat -an | grep :80 | sort
只顯示連接到80段口的活躍的網路連接,80是http埠,這對於web伺服器非常有用,並且對結果排序.對於你從許多的連接中找出單個發動洪水攻擊IP非常有用
代碼如下:netstat -n -p|grep SYN_REC | wc -l
這個命令對於在伺服器上找出活躍的SYNC_REC非常有用,數量應該很低,最好少於5.
在dos攻擊和郵件炸彈,這個數字可能非常高.然而值通常依賴於系統,所以高的值可能平分給另外的伺服器.
代碼如下:netstat -n -p | grep SYN_REC | sort -u
列出所有包含的IP地址而不僅僅是計數.
代碼如下:netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
列出所有不同的IP地址節點發送SYN_REC的連接狀態
代碼如下:netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
使用netstat命令來計算每個IP地址對伺服器的連接數量
代碼如下:netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
列出使用tcp和udp連接到伺服器的數目
代碼如下:netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
檢查ESTABLISHED連接而不是所有連接,這可以每個ip的連接數
代碼如下:netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
顯示並且列出連接到80埠IP地址和連接數.80被用來作為HTTP
如何緩解ddos攻擊
當你發現攻擊你伺服器的IP你可以使用下面的命令來關閉他們的連接:
代碼如下:iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT
請注意你必須用你使用netstat命令找到的IP數替換$IPADRESS
❸ 網站被phpddos攻擊,怎麼辦
高防游戲/私服/網站抗DDOS/CC/SYN等攻擊伺服器:
機房實力雄厚,64G強大硬防更是為國內最大,無第二個,同時機房採用國際最先進的流量牽引技術,防攻擊能力更強,適合放各種被攻擊的網站或游戲。
詳情請咨詢簽名,有專業人員為你完美解決。
❹ 被DDOS了怎麼辦,淺談Liunx防禦DDOS攻擊
隨著Internet互聯網路帶寬的增加和多種DDoS黑客工具的不斷發布,DDoS拒絕服務攻擊的實施越來越容易,DDoS攻擊事件正在成上升趨勢。出於商業競爭、打擊報復和網路敲詐等多種因素,導致很多IDC託管機房、商業站點、游戲伺服器、聊天網路等網路服務商長期以來一直被DDoS攻擊所困擾,隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業損失等一系列問題,因此,解決DDoS攻擊問題成為網路服務商必須考慮的頭等大事。
DDoS是英文Distributed Denial of Service的縮寫,意即分布式拒絕服務,那麼什麼又是拒絕服務(Denial of Service)呢?可以這么理解,凡是能導致合法用戶不能夠訪問正常網路服務的行為都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的非常明確,就是要阻止合法用戶對正常網路資源的訪問,從而達成攻擊者不可告人的目的。
雖然同樣是拒絕服務攻擊,但是DDoS和DOS還是有所不同,DDoS的攻擊策略側重於通過很多僵屍主機(被攻擊者入侵過或可間接利用的主機) 向受害主機發送大量看似合法的網路包,從而造成網路阻塞或伺服器資源耗盡而導致拒絕服務,分布式拒絕服務攻擊一旦被實施,攻擊網路包就會猶如洪水般湧向受害主機,從而把合法用戶的網路包淹沒,導致合法用戶無法正常訪問伺服器的網路資源,因此,拒絕服務攻擊又被稱之為洪水式攻擊。
常見的DDoS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS則側重於通過對主機特定漏洞的利用攻擊導致網路棧失效、系統崩潰、主機死機而無法提供正常的網路服務功能,從而造成拒絕服務,常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務攻擊而言,危害較大的主要是DDoS攻擊,原因是很難防範,至於DOS攻擊,通過給主機伺服器打補丁或安裝防火牆軟體就可以很好地防範,後文會詳細介紹怎麼對付DDoS攻擊。三、被DDoS了嗎?
DDoS的表現形式主要有兩種,一種為流量攻擊,主要是針對網路帶寬的攻擊,即大量攻擊包導致網路帶寬被阻塞,合法網路包被虛假的攻擊包淹沒而無法到達主機;另一種為資源耗盡攻擊,主要是針對伺服器主機的攻擊,即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網路服務。
當然,這樣測試的前提是你到伺服器主機之間的ICMP協議沒有被路由器和防火牆等設備屏蔽,否則可採取Telnet主機伺服器的網路服務埠來測試,效果是一樣的。不過有一點可以肯定,假如平時Ping你的主機伺服器和接在同一交換機上的主機伺服器都是正常的,突然都Ping不通了或者是嚴重丟包,那麼假如可以排除網路故障因素的話則肯定是遭受了流量攻擊,再一個流量攻擊的典型現象是,一旦遭受流量攻擊,會發現用遠程終端連接網站伺服器會失敗。
相對於流量攻擊而言,資源耗盡攻擊要容易判斷一些,假如平時Ping網站主機和訪問網站都是正常的,發現突然網站訪問非常緩慢或無法訪問了,而 Ping還可以Ping通,則很可能遭受了資源耗盡攻擊,此時若在伺服器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態存在,而ESTABLISHED很少,則可判定肯定是遭受了資源耗盡攻擊。
還有一種屬於資源耗盡攻擊的現象是,Ping自己的網站主機Ping不通或者是丟包嚴重,而Ping與自己的主機在同一交換機上的伺服器則正常,造成這種原因是網站主機遭受攻擊後導致系統內核或某些應用程序CPU利用率達到100%無法回應Ping命令,其實帶寬還是有的,否則就Ping不通接在同一交換機上的主機了。
當前主要有三種流行的DDoS攻擊:
1、SYN/ACK Flood攻擊:這種攻擊方法是經典最有效的DDoS方法,可通殺各種系統的網路服務,主要是通過向受害主機發送大量偽造源IP和源埠的SYN或ACK 包,導致主機的緩存資源被耗盡或忙於發送回應包而造成拒絕服務,由於源都是偽造的故追蹤起來比較困難,缺點是實施起來有一定難度,需要高帶寬的僵屍主機支持。
少量的這種攻擊會導致主機伺服器無法訪問,但卻可以Ping的通,在伺服器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態,大量的這種攻擊會導致Ping失敗、TCP/IP棧失效,並會出現系統凝固現象,即不響應鍵盤和滑鼠。普通防火牆大多無法抵禦此種攻擊。
2、TCP全連接攻擊:這種攻擊是為了繞過常規防火牆的檢查而設計的,一般情況下,常規防火牆大多具備過濾TearDrop、Land等DOS攻擊的能力,但對於正常的TCP連接是放過的,殊不知很多網路服務程序(如:IIS、Apache等Web伺服器)能接受的TCP連接數是有限的。
一旦有大量的TCP連接,即便是正常的,也會導致網站訪問非常緩慢甚至無法訪問,TCP全連接攻擊就是通過許多僵屍主機不斷地與受害伺服器建立大量的TCP連接,直到伺服器的內存等資源被耗盡而被拖跨,從而造成拒絕服務,這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的,缺點是需要找很多僵屍主機,並且由於僵屍主機的IP是暴露的,因此容易被追蹤。
3、刷Script腳本攻擊:這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序,並調用MSSQLServer、 MySQLServer、Oracle等資料庫的網站系統而設計的,特徵是和伺服器建立正常的TCP連接,並不斷的向腳本程序提交查詢、列表等大量耗費資料庫資源的調用,典型的以小博大的攻擊方法。
一般來說,提交一個GET或POST指令對客戶端的耗費和帶寬的佔用是幾乎可以忽略的,而伺服器為處理此請求卻可能要從上萬條記錄中去查出某個記錄,這種處理過程對資源的耗費是很大的,常見的資料庫伺服器很少能支持數百個查詢指令同時執行,而這對於客戶端來說卻是輕而易舉的,因此攻擊者只需通過 Proxy代理向主機伺服器大量遞交查詢指令,只需數分鍾就會把伺服器資源消耗掉而導致拒絕服務。
常見的現象就是網站慢如蝸牛、ASP程序失效、PHP連接資料庫失敗、資料庫主程序佔用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火牆防護,輕松找一些Proxy代理就可實施攻擊,缺點是對付只有靜態頁面的網站效果會大打折扣,並且有些Proxy會暴露攻擊者的IP地址。
❺ phpddos怎麼用 打擊目標填什麼,,, 埠填什麼
syn 或者 碎片,
TCP 也可以