【急】服务器受到攻击，如何能验证？

JohnBull

原帖由 langue 于 2006-10-15 03:07 发表
看完了楼上的分析。

觉得必须强化的观念就是，在 DDoS 下用日志记录的防火墙，死得更快。

对于日志记录的情况，我的推测：为了尽量把每一条日志都记录进磁盘，syslogd 在写完日志后进行了关闭文件的操作，这 ...

结论同意，但并不是“syslogd 在写完日志后进行了关闭文件的操作”，而是恰恰相反，syslog使用用户态buffer来提高效率。

问题是内核的LOG是通过klogd从内核的ring buffer中取走的，然后klogd再用UNIX域socket把消息传递给syslogd，这里面隐含着两次内存拷贝、两次陷入内核的过程（klogd读取/proc/kmsg、调用sendto()发给syslogd）。而用packet socket的话，只有一次内存拷贝、一次陷入内核(一个recvfrom调用而已)。

[ 本帖最后由 JohnBull 于 2006-10-18 13:24 编辑 ]

hefish

基本同意白金的观点。线速和网速不是同一个概念。有同学把这个搞混了。

liuke432

原帖由 dayan_he 于 2006-10-17 20:11 发表
真理都是在不同的争论和交锋中产生的

up

LinuxServer

占个位置.
有点意思.

dayan_he

不错，真理都是在不同的争论和交锋中产生的，

期待继续.。。。

呵呵，

大家讨论可以，不要搞人身攻击哦

pswdf

正常的情况下，记录日志很正常，就象apahce也记录日志，业务需要嘛。

在 DDos 下用启用iptables日志功能，死得更快。不信你可以做个试验。别说一台双 XEON 的 SCSI 硬盘的机器，就算给你五台又怎么样？ D你没商量。

PS：亲自经历的一次攻击，后来调用了三十多台服务器轮巡才堪堪顶住啊。

如果只是验证被攻击，很简单嘛，WEB服务频繁死掉，大量非正常的HTTP链接，访问量激增（相对平时）等，或者向机房要MRTG流量图看看都是可以的呀

比刀螂还冲动

很难搞

colddawn

你所说的ddos是以多大流量为标准？是lz说的4Mbps？还是白金说的1kpps？数据我都大体估算出来了，你倒是看看到底达到哪个指标的上限了？还有哪不满意的？

对于你的推测，我只能说，你lsof看一下syslog相关文件是不是一直处于打开状态的。

langue

看完了楼上的分析。

觉得必须强化的观念就是，在 DDoS 下用日志记录的防火墙，死得更快。

对于日志记录的情况，我的推测：为了尽量把每一条日志都记录进磁盘，syslogd 在写完日志后进行了关闭文件的操作，这样同步缓冲区。所以总会发生硬盘的实际读写。我这里在有人用 ssh 进行端口扫描的时候，硬盘灯就亮个不停，/var/log/secure 的增长速度虽不快，可是在这样高的读写消耗条件下，tcpdump 绝对已经占有了性能优势。