统计
  • 建站日期:2019-12-01
  • 文章总数:2002 篇
  • 评论总数:2124 条
  • 分类总数:21 个
  • 最后更新:11月21日
文章 未分类

【我Linux服务器被ddos了】记一次ddos防御+溯源+反击

程序员阿鑫
首页 未分类 正文

【我Linux服务器被ddos了】记一次ddos防御+溯源+反击-程序员阿鑫-带你一起秃头-第1张图片

相信大家都听过DDOS攻击、DDOS攻击,那 “DDOS攻击” 到底是什么呢?

一、什么是DDOS攻击?(知道的小伙伴可以跳过这一条↓↓)

站长也不跟大家扯百度百科上面的这一套,都是专业术语,我也害怕自己讲不明白

【我Linux服务器被ddos了】记一次ddos防御+溯源+反击-程序员阿鑫-带你一起秃头-第2张图片

那我们通俗的来讲

打比方说 被攻击方是你开的一家包子铺,正常的情况下无外乎就是客户来到你的包子铺,他给你钱你给他包子,这就可以看做是一次正常的服务器请求;

然后攻击方,也就是你隔壁也开了家包子铺,他的店铺没有人,羡慕嫉妒你门店里面客户很多,于是你隔壁家包子铺就花钱雇来一堆人去你的包子铺里面排队,只排队不买包子,扰乱你正常客户的买包子速度(因为要排队),这就是DDOS攻击;

这就是用通俗的话来讲的DDOS攻击

二、发生了什么事?

就在前两天,站长旗下的一台服务器响应极慢,什么都进不去?

看了服务器控制台才发现,服务器超带宽了    PS:超带宽是指你服务器带宽最大是5Mbit/s,结果处理了10Mbit/s的请求

【我Linux服务器被ddos了】记一次ddos防御+溯源+反击-程序员阿鑫-带你一起秃头-第3张图片(图是后来截得,当时带宽跑到15Mbit/s)

我的第一反应是,去查看平台的主机安全险

【我Linux服务器被ddos了】记一次ddos防御+溯源+反击-程序员阿鑫-带你一起秃头-第4张图片

结果发现了近50条暴力破解,然后就一直猜测是不是我搭建的源码有后门,别人通过后门在我服务器内部植入病毒,然后利用我的资源进行挖矿之类的内部问题,从而忽视了来自外部的攻击。

结果呢就是我查了一天服务器内部文件问题,也没有发现问题所在何处。

最后我提交了工单,打了客服电话,客服告诉我没有查到DDOS记录,我也没有多想

【我Linux服务器被ddos了】记一次ddos防御+溯源+反击-程序员阿鑫-带你一起秃头-第5张图片

三、怎么发现的?

找了几天都没有找到原因,于是我联系了我做网络运维的朋友,请他们帮我看看问题所在

【我Linux服务器被ddos了】记一次ddos防御+溯源+反击-程序员阿鑫-带你一起秃头-第6张图片

果然术业有专攻,一眼就发现了问题不对,于是在我朋友所说下,我去看了我的服务器请求

我服务器是Linux系统,所以我使用iftop插件    PS:iftop可以用来监控网卡的实时流量(可以指定网段)、反向解析IP、显示端口信息等

【我Linux服务器被ddos了】记一次ddos防御+溯源+反击-程序员阿鑫-带你一起秃头-第7张图片

【我Linux服务器被ddos了】记一次ddos防御+溯源+反击-程序员阿鑫-带你一起秃头-第8张图片

可以看到,服务器正在受到这三个IP的大量(次数)访问,单条数据达到了2M至3M(一般网站请求没有这么大)

四、如何防御DDOS

一般我们买的服务器都有个东西叫做 “安全组” ,一般是用来开放服务器端口的,当然也可以屏蔽某IP

【我Linux服务器被ddos了】记一次ddos防御+溯源+反击-程序员阿鑫-带你一起秃头-第9张图片

【我Linux服务器被ddos了】记一次ddos防御+溯源+反击-程序员阿鑫-带你一起秃头-第10张图片

划重点!划重点!划重点!

少量攻击解决方法:先在服务器安全组内,设置此IP的所有端口禁止请求我们的服务器(适用于小量IP访问)

大量攻击解决方法:如果大量IP对服务器进行攻击的话,那么就只能给服务器买防御了

实体服务器被攻击:使用实体防火墙设置规则库进行规则校验拦截非正常请求

五、溯源

获得攻击者IP后,使用工具进行查询IP

查询后可以看到,这个攻击人是使用腾某云的服务器对我进行发起的攻击,很好奇的是他为什么没有隐藏自己的IP

【我Linux服务器被ddos了】记一次ddos防御+溯源+反击-程序员阿鑫-带你一起秃头-第11张图片

我在猜可能是哪个可怜蛋的服务器被当成肉鸡了,还好没有对我业务造成太大的影响,所以我将上述情况抓包取证上报给了腾讯云,交给腾讯云处理

怎么抓包?

Linux 使用 tcpdump 命令 

语法:tcpdump -i eth0 host 【攻击ip】 -w 【保存文件名.cap】

保存文件时,需要先进入到目标目录,再执行命令

【我Linux服务器被ddos了】记一次ddos防御+溯源+反击-程序员阿鑫-带你一起秃头-第12张图片

耐心等待之后,就会在服务器中生成一个名为 119.91.110.246.cap 的文件

【我Linux服务器被ddos了】记一次ddos防御+溯源+反击-程序员阿鑫-带你一起秃头-第13张图片

注意:抓包取证时不要ban掉这个ip,否则抓不到数据

如法炮制,将证据一块提交至 腾讯云举报中心 (https://console.cloud.tencent.com/rc

【我Linux服务器被ddos了】记一次ddos防御+溯源+反击-程序员阿鑫-带你一起秃头-第14张图片

【我Linux服务器被ddos了】记一次ddos防御+溯源+反击-程序员阿鑫-带你一起秃头-第15张图片

好了,以上就是我这次的防御过程,如果大家有什么不明白的地方,可以在下方评论

版权说明
文章采用: 《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权。
版权声明:未标注转载均为本站原创,转载时请以链接形式注明文章出处。如有侵权、不妥之处,请联系站长删除。敬请谅解!

-- 展开阅读全文 --
这篇文章最后更新于2022-3-15,已超过 1 年没有更新,如果文章内容或图片资源失效,请留言反馈,我们会及时处理,谢谢!
微信(WeChat)电脑端多开分析+源码
« 上一篇
WordPress主题:CorePress模板破解版
下一篇 »

发表评论