服务器被攻击,大家有什么好办法呀

galaxy1975

我有个客户，现在有很多的25连接。。。 他们现在并发的25连接有1100~1200,把服务器都拖死了.
奶奶的，郁闷死了 各位老大有啥办法搞定这种攻击么？

galaxy1975

我已经增加了很多SMTP连接阶段的防御措施,看日至大部分的连接都被Reject了.但是,外面的连接却源源不断,一会儿就把服务器的资源塞满了.

galaxy1975

顶起来寻找答案

panwj

iptables

刘五十三

2个可能，
1 比较固定的ip连过来，封掉那些ip几天
2 乱七八糟的ip连过来，可能是病毒吧？要不是被人大规模用僵尸攻击？这么被人看得起？
分析log,找出规律。看看发过来的邮件是些什么东西？你们搞这个应该有办法的，不会像用户
一样说，有问题，就是有问题，但是就是不知道什么问题吧。
还有一个傻办法
建两个mx地址，原来的ip就关掉25端口，用新的mx收，正常服务器好歹能发过来，丢信，延迟会有一点，好过成天收不下信，攻击的人
可能不会那么快反应出来。如果也反映过来就对比新老ip的log信息。不过我觉得病毒比较象。
甚至可能是自己公司内部大规模爆发病毒了。

[ 本帖最后由 刘五十三 于 2006-7-31 17:44 编辑 ]

galaxy1975

赫赫,确实是很被人看得起的一个单位.....
来信大多是反弹的那种退信.也许这就叫做僵尸攻击?...
建两个mx地址，原来的ip就关掉25端口  这种方式可能不行,因为对方攻击肯定是通过DNS的结果来进行的,

目前的想法是分析连接的IP,包括连接频率\并发\ 还有被Reject的ＩＰ，然后把这些IP产生一个动态的IP列表,由于是Solaris系统,所以只能用IPFilter来依赖于这个IP列表动态的封掉这些ＩＰ．

刘五十三

还有一个傻办法，多建几个mx地址，比如20个，每台地址都用pc做服务器，然后把收到的邮件都forward到内网的主邮件服务器去。这样至少2000个一台变成了100个连接一台，兼容机应该还撑得住。既然攻击的都是连接，主服务器只会收到外面来邮件，光连接不会影响到主服务器的。

galaxy1975

2000个连接还是好的，外面还有大批在排队，我曾经尝试过把ｐｏｓｔｆｉｘ的最大允许连接放大，转眼间就飙升到３５００左右了．．．

anthonyfeng

如果不想加大硬件投资，我想我可能会装个免费的IPS。

或者用abel 的说法，限制一分钟内同一ip 的连接次数。

尚未搞清你的攻击是什么类型的，亦只能说这些了。

galaxy1975

正在写脚本，从日志里统计ｒｅｊｅｃｔ的ＩＰ，超过５个ＩＰ就在防火墙（ＩＰＦ）那儿封掉．每一个ＩＰ打上一个时间标记，超过1天的IP从IPF规则中释放.
脚本每30秒钟执行一次