服务器被攻击,大家有什么好办法呀

galaxy1975

明日给大家汇报结果

刘五十三

呵呵，看看qmail怎么对付这dos攻击，sendmail如果遇到这种情况估计也难办

abel

sendmail  在啟動 Rate Control 的情況下是能有效限制同一個 IP 的連線數
如果 IP 過多,也是會造成 Loading 上昇,而此時預設是 Load Average 12 後開始拒絕連接,
12 以下後才可以再連接,能做的最多也只能到這樣
(指基本的做法)

思一克

tcpserver 有总的连接数量限制。启用它。比如100个，101个等待。
这样SERVER永远不会负荷过大了

刘五十三

问题不是让server死掉或是负荷太重，而是在被dos攻击的时候还要能收信，别人攻击一下你就不收信了，攻击者就达到了目的。我看还是搞上一大堆集群配合封ip方法。用单台服务器性能再好也有限，集群应该价格便宜效果也不错。一台diy电脑也就3000差不多了。配个20台也就6万应该还没有小型机贵。不过维护麻烦点。

[ 本帖最后由 刘五十三 于 2006-8-1 10:30 编辑 ]

思一克

总数目限制是必须的，也是必要的。
占线攻击是不可以防范的。你可以根据IP报警。

和这个相同道理：
如果你们公司的电话系统有100条入中继线，我找几个人用不断用不同电话同时往里打，一会你公司的电话就塞满了。
这破坏行为无法防范。报警。

刘五十三

报警有什么用？别人用全世界不同的ip连过来，关键是攻击的人成本很低，很难被抓，打电话攻击的很少见，一个是打电话还要钱，比僵尸攻击成本高太多了。二就是想做成全球不同地方打电话过来似乎臣本也太高了，在一个地方打电话容易被抓。要不然有的人一天收到几百封垃圾邮件，怎么就没有天天收到几百个推销电话的。

思一克

报警没有用就算了。

如果防垃圾邮件的系统好，可以缓解垃圾邮件的占线。
如果是有人故意破坏你，那就无法办了。

我的经验还没有遇到故意破坏的。仅仅是发垃圾。

思一克

TO LZ，

你必须加上连接数量限制。
看来你的SERVER原来根本就没有配置好。不是一个完备的MAIL服务器。

galaxy1975

原帖由 思一克 于 2006-8-1 10:55 发表
TO LZ，

你必须加上连接数量限制。
看来你的SERVER原来根本就没有配置好。不是一个完备的MAIL服务器。

并发连接控制已经做了，目前分析来信的IP，基本上都是不同的IP

连接频率限制以前有做，但是这个服务器还跟客户的一个业务系统相连，这个业务系统会频繁的发信，由于我自己程序这里还没有做到分别对待不同来源ＩＰ的频率控制，所以就暂时停掉了

最大连接数的限制，这个肯定是不能做的，因为那样的话就会导致人家一攻击，服务器就不工作。。。客户会封掉的（客户的客服系统依赖于这个邮件）。

目前的解决方案是：
　１。在ＵＣＥ控制哪儿，拒绝了所有的退信（发件人为空），可以抵御绝大多数的反弹攻击
　２。对无主邮件在握手阶段利用Ｐｏｌｉｃｙ进行判断，如果域内没有这个用户，直接干掉。
　３。对Ｒｅｊｅｃｔ的来源IP统计频率，如果超过一定频率，就把ＩＰ记录下来，并交给ＩＰＦｉｌｔｅｒ直接ｄｅｎｙ掉。

现在情况已经好转：）　连接数降低到３００左右，服务器负载５０％。
脚本还要继续调整。。。。。努力中。