也谈DDOS攻击

expert1

某个对外B2C电子商务网站被攻击了，现在访问不了，部分截图如下：

1. --2011-05-11 00:47:45-- (try: 4) http://www.abc.com/
3. Connecting to www.abc.com|124.1.1.1|:80... failed: Connection timed out.
5. Retrying.

以上域名做了改动。

话说回来，这种攻击似乎无解。就一般的DOS攻击而言，直接iptables封掉IP或是页面做一个验证，实现做个判断，大致如下：

利用ip+cookie或session判断是否是在刷页面，然后重定向到首页，一般这个和数据库有关系，比如恶意注册，肯定会让某个用户5分钟后再试。在主程序包含该文件即可。由于cc利用proxy，会发送x-forward-for,此时记录代理后边的ip，大致能看到一些端倪。access.log里，某个页面被访问的最多（动态），某个Ip连接最多可以考虑封掉。

至于DDOS，只能加带宽和设备，别无他法。此时症状估计数http connect比平时高出几倍，机器很繁忙，交换机oubound也如此。即便使用防火墙，我估计此时防火墙估计也会挂掉。

就是站着茅坑不拉屎，其他有需要的也无法如厕，仅此而已。如何区分谁是真正需要如厕的人？茅坑无法分辨，结果是大家都去不了。

后来仔细了下做安全的朋友，他们的建议是在ISP路由这一层做反向侦测，限制连接和数字水印技术有一定的效果。