相信大家都听过DDOS攻击、DDOS攻击,那 “DDOS攻击” 到底是什么呢?
一、什么是DDOS攻击?(知道的小伙伴可以跳过这一条↓↓)
站长也不跟大家扯百度百科上面的这一套,都是专业术语,我也害怕自己讲不明白
那我们通俗的来讲
打比方说 被攻击方是你开的一家包子铺,正常的情况下无外乎就是客户来到你的包子铺,他给你钱你给他包子,这就可以看做是一次正常的服务器请求;
然后攻击方,也就是你隔壁也开了家包子铺,他的店铺没有人,羡慕嫉妒你门店里面客户很多,于是你隔壁家包子铺就花钱雇来一堆人去你的包子铺里面排队,只排队不买包子,扰乱你正常客户的买包子速度(因为要排队),这就是DDOS攻击;
这就是用通俗的话来讲的DDOS攻击
二、发生了什么事?
就在前两天,站长旗下的一台服务器响应极慢,什么都进不去?
看了服务器控制台才发现,服务器超带宽了 PS:超带宽是指你服务器带宽最大是5Mbit/s,结果处理了10Mbit/s的请求
(图是后来截得,当时带宽跑到15Mbit/s)
我的第一反应是,去查看平台的主机安全险
结果发现了近50条暴力破解,然后就一直猜测是不是我搭建的源码有后门,别人通过后门在我服务器内部植入病毒,然后利用我的资源进行挖矿之类的内部问题,从而忽视了来自外部的攻击。
结果呢就是我查了一天服务器内部文件问题,也没有发现问题所在何处。
最后我提交了工单,打了客服电话,客服告诉我没有查到DDOS记录,我也没有多想
三、怎么发现的?
找了几天都没有找到原因,于是我联系了我做网络运维的朋友,请他们帮我看看问题所在
果然术业有专攻,一眼就发现了问题不对,于是在我朋友所说下,我去看了我的服务器请求
我服务器是Linux系统,所以我使用iftop插件 PS:iftop可以用来监控网卡的实时流量(可以指定网段)、反向解析IP、显示端口信息等
可以看到,服务器正在受到这三个IP的大量(次数)访问,单条数据达到了2M至3M(一般网站请求没有这么大)
四、如何防御DDOS
一般我们买的服务器都有个东西叫做 “安全组” ,一般是用来开放服务器端口的,当然也可以屏蔽某IP
划重点!划重点!划重点!
少量攻击解决方法:先在服务器安全组内,设置此IP的所有端口禁止请求我们的服务器(适用于小量IP访问)
大量攻击解决方法:如果大量IP对服务器进行攻击的话,那么就只能给服务器买防御了
实体服务器被攻击:使用实体防火墙设置规则库进行规则校验拦截非正常请求
五、溯源
获得攻击者IP后,使用工具进行查询IP
查询后可以看到,这个攻击人是使用腾某云的服务器对我进行发起的攻击,很好奇的是他为什么没有隐藏自己的IP
我在猜可能是哪个可怜蛋的服务器被当成肉鸡了,还好没有对我业务造成太大的影响,所以我将上述情况抓包取证上报给了腾讯云,交给腾讯云处理
怎么抓包?
Linux 使用 tcpdump 命令
语法:tcpdump -i eth0 host 【攻击ip】 -w 【保存文件名.cap】
保存文件时,需要先进入到目标目录,再执行命令
耐心等待之后,就会在服务器中生成一个名为 119.91.110.246.cap 的文件
注意:抓包取证时不要ban掉这个ip,否则抓不到数据
如法炮制,将证据一块提交至 腾讯云举报中心 (https://console.cloud.tencent.com/rc)
好了,以上就是我这次的防御过程,如果大家有什么不明白的地方,可以在下方评论
版权声明:未标注转载均为本站原创,转载时请以链接形式注明文章出处。如有侵权、不妥之处,请联系站长删除。敬请谅解!