[实录]今天VPS被DDoS攻击!如何判断被攻击?如何防御DDoS攻击?

如何判断被DDOS攻击?
首先看看80端口上有多少连接(不是IP,请注意区别,一个IP可能发起很多个连接)

1
netstat -nat|grep -i "80"|wc -l

netstat -nat是所有端口的连接状况
gerp -i “80” 是单独打印80端口的 可以修改显示其他端口情况

执行以下命令,将会显示服务器上每个IP有多少个连接数,按从小到大排序

1
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

以下是今天刚开始被攻击时的测试结果:

1
2
3
4
5
6
7
8
9
10
11
12
13
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
      1 180.97.35.21
      1 180.97.35.36
      1 66.249.79.58
      1 Address
      1 servers)
      2 117.136.74.158
      2 171.214.239.34
      2 222.80.245.106
      3 223.114.118.65
     37 106.187.34.20
    133 106.187.36.20
    157 106.187.35.20

每个IP几个、十几个或几十个连接数都还算比较正常
像这后几个ip,成百上千肯定就不正常了

最后三个IP就是那个杂种的,已经持续了1个钟头,还在增加其他机器来攻击
系统最近一次发的邮件,提示该IP被屏蔽
Banned the following ip addresses on Sat Aug 15 23:28:01 CST 2015
106.187.35.20 with 156 connections

不过挺搞笑,他先是跑到我网站留言,输入乱码找漏洞,想SQL注入,发了一堆垃圾信息,啥也没干成,而且我的留言全部是要审核后才能看见的。。。
ddos防御

查了下ip,最讽刺的是“奇虎360联通节点”,你让搞安全软件起家的360情何以堪。。。
被ddos攻击怎么办

这逗比一直在那儿发垃圾留言,直接iptable把他的ip给屏蔽掉了(好像这样做有个弊端,这个应该是ADSL动态使用的外网IP,这样会造成其他使用这个公网IP的用户没法登陆我的网站,先不管了,过了再说)

1
iptables -I INPUT -s 106.187.35.20 -j DROP

世界瞬间清净。。。这个逗比

之前安装了DDoS deflate,可以起到一点作用,至少能及时通知站长,让站长做好准备
攻击刚开始时,系统就发邮件通知我被攻击了
fuckddos

对于小规模的ddos攻击,可以直接使用iptable屏蔽发起攻击的ip,或者使用加速乐、360网站卫士、安全宝等CDN提供的服务
对于大规模的ddos攻击,商业用户请选择专业的ddos防御服务,价格不是个人用户能够接受的。。。
看看下面x里云提供的服务。。。这价格真酸爽。。。
云盾DDoS高防IP阿里云

原文链接:https://xiaohost.com/1286.html,转载请注明出处。
0

评论2

请先
  1. 但是攻击之后机子就 down 了,连不上 ssh,只能重启,而重启后就看不到之前的记录了。。怎么才能知道哪个 IP 在攻击呢。
    kerry 2016-03-05 0
    • 有记录,查查看,除非记录被人删除了
      站长 2016-03-14 0