被攻击3天-损失严重-寻求帮助

wodingg

我们服务器已经被攻击3天了，对方采用TCP/IP SYN Flooding Attack 方式攻击，不停的给我们发包，导致WEB端口堵死，http不能正常访问，但是SSH可以链接，对方也采用了不停的查询替换我们SSH密码，目前一台服务器已经被更改密码了。\r\n\r\n我没办法了，大家帮我指点一下。\r\nMSN: ookk123@hotmail.com

wildlily980

唉,你不会用私钥来验证吗?

chenjiakai

兄弟，可以报警了。再看看最近是否有招谁惹谁了。

aredfox

有没有人勒索或卖防火墙的，老套路

fanxiaonan

建议增加CACHE服务器，对SSH的访问建议增加地址限制，这个是很普遍的扫描方法，网络上面时时刻刻都有人做这样的事情。

~wind~

如果放的是公共机房且自己的地址动态,怎么限制.限制地区啊?

skeys

aredfox\r\n\r\n

发表于 2007-8-7 14:34\r\n 有没有人勒索或卖防火墙的，老套路\r\n

\r\n\r\n\r\n我是专业抗DDOS防火墙厂商的,不排除行业间是有不正当销售的情况,就像媒体报导的联众事件,但你不能一杆子打死一堆人!\r\n\r\n等什么时候国内防火墙厂商都关门的时候,我看你遇到攻击去找谁!\r\n\r\n我们产品可以解决问题,楼主可以和我联系!

dwolf

他的情况我已经提供过帮助，数据包我也仔细分析过了,我用TCPDUMP随机抓了几百个SYN包仔细分析,TCP/IP头部参数的每个选项数值都正常,不像伪造来源的SYNFLOOD,只有2个可能:1, 是流量转移或真实DDOS代理攻击 2,如果真是制造出来的包,已经和真实包一样,绝没办法通过数据包特征过滤,只有进行SYNPROXY,此仁兄服务器是LINUX,不好PROXY,只有用硬件防火墙了..\r\n另外,SSH问题解决办法就太容易了,IPTABLES把你IP段授权，其他都Deny, 或者用私钥.

dwolf

颠~~\r\n1, SYN包包含TCP头,IP头等数据, 包含源IP,目标IP,源端口,目标端口,TTL,ID,TCP长度,IP长度,序列号,窗口值等信息,这些就是我说的参数. 数据包过滤就是利用这些参数的特征,一般每个攻击都有一定的特征,如TTL值, 这就是黑洞等防火墙说的指纹过滤. 严格说，每个参数都可以伪造, 但是IP和TTL的关系是很难伪造完善的.\r\n\r\n2,OPENBSD和FREEBSD上已经可以很好的使用SYNPROXY进行代理握手,具体怎样实施请查资料,到处都是