- 论坛徽章:
- 0
|
上周的时候 ,,又出现网络中断的问题。
后来通过 tcpdump 观察了 很久,,也做了下 统计, 有很多 从新加坡、美国,那边的IP 发的只有 ACK标志的报文,服务器没有回复。
平均每秒3个左右的报文从不同的IP过来。
通过google 、百度,明了这是 DDOS 攻击,可能致使服务器瘫痪,网络无响应。
而且这是要处理 TCP 协议生来就存在的问题,因为它需要在内核中去找对应的WINDOW,并且验证正确性,这个过程就要耗主机资源。
不过我在网络中断的时候 通过 ps -aux 也查看了,当时的CPU无超过1%的负载。
后来采取的措施,
防火墙加了以下措施:
1、禁止对应IP段的访问。
2、DROP一些状态可疑的TCP包
#
# PORTSCAN chain (drop common attacks)
#
-N PORTSCAN
-A PORTSCAN -p tcp --tcp-flags ACK,FIN FIN -j DROP
-A PORTSCAN -p tcp --tcp-flags ACK,PSH PSH -j DROP
-A PORTSCAN -p tcp --tcp-flags ACK,URG URG -j DROP
-A PORTSCAN -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A PORTSCAN -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
-A PORTSCAN -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PORTSCAN -p tcp --tcp-flags ALL ALL -j DROP
-A PORTSCAN -p tcp --tcp-flags ALL NONE -j DROP
-A PORTSCAN -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
-A PORTSCAN -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP
-A PORTSCAN -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
# Force SYN packets checks
-A PORTSCAN -p tcp ! --syn -m state --state NEW -j DROP
# Force fragments packets check
-A PORTSCAN -f -j DROP
#XMAS packets
-A PORTSCAN -p tcp --tcp-flags ALL ALL -j DROP
#Drop all NULL packets
-A PORTSCAN -p tcp --tcp-flags ALL NONE -j DROP
现在那些攻击我这边服务器的IP 没有再折腾了,我也不清楚,究竟是我这边加了防火墙后起的作用,还是对方已经对我这边服务器不感兴趣而放弃攻击了。
目前通讯正常。 |
|
免费注册
楼主: darnis
发表于 2013-05-17 17:14
发表于 2013-05-17 18:46
