如何判断被DDOS攻击?
首先看看80端口上有多少连接(不是IP,请注意区别,一个IP可能发起很多个连接)
1 | netstat -nat|grep -i "80"|wc -l |
netstat -nat是所有端口的连接状况
gerp -i “80” 是单独打印80端口的 可以修改显示其他端口情况
执行以下命令,将会显示服务器上每个IP有多少个连接数,按从小到大排序
1 | netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n |
以下是今天刚开始被攻击时的测试结果:
1 2 3 4 5 6 7 8 9 10 11 12 13 | netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 1 180.97.35.21 1 180.97.35.36 1 66.249.79.58 1 Address 1 servers) 2 117.136.74.158 2 171.214.239.34 2 222.80.245.106 3 223.114.118.65 37 106.187.34.20 133 106.187.36.20 157 106.187.35.20 |
每个IP几个、十几个或几十个连接数都还算比较正常
像这后几个ip,成百上千肯定就不正常了
最后三个IP就是那个杂种的,已经持续了1个钟头,还在增加其他机器来攻击
系统最近一次发的邮件,提示该IP被屏蔽
Banned the following ip addresses on Sat Aug 15 23:28:01 CST 2015
106.187.35.20 with 156 connections
不过挺搞笑,他先是跑到我网站留言,输入乱码找漏洞,想SQL注入,发了一堆垃圾信息,啥也没干成,而且我的留言全部是要审核后才能看见的。。。
查了下ip,最讽刺的是“奇虎360联通节点”,你让搞安全软件起家的360情何以堪。。。
这逗比一直在那儿发垃圾留言,直接iptable把他的ip给屏蔽掉了(好像这样做有个弊端,这个应该是ADSL动态使用的外网IP,这样会造成其他使用这个公网IP的用户没法登陆我的网站,先不管了,过了再说)
1 | iptables -I INPUT -s 106.187.35.20 -j DROP |
世界瞬间清净。。。这个逗比
之前安装了DDoS deflate,可以起到一点作用,至少能及时通知站长,让站长做好准备
攻击刚开始时,系统就发邮件通知我被攻击了
对于小规模的ddos攻击,可以直接使用iptable屏蔽发起攻击的ip,或者使用加速乐、360网站卫士、安全宝等CDN提供的服务
对于大规模的ddos攻击,商业用户请选择专业的ddos防御服务,价格不是个人用户能够接受的。。。
看看下面x里云提供的服务。。。这价格真酸爽。。。
评论2