0

我的服务器受到攻击!

当我使用时,netstat -anp | grep :80 我得到以下列表:

tcp        0      0 162.167.98.11:80        5.189.156.224:58211     SYN_RECV    -
tcp        0      0 162.167.98.11:80        5.189.156.224:39608     SYN_RECV    -
tcp        0      0 162.167.98.11:80        5.189.156.224:33261     SYN_RECV    -
tcp        0      0 162.167.98.11:80        5.189.156.224:56951     SYN_RECV    -

有几十行这样的。

请帮助我了解此列表以及如何保护服务器免受发出大量请求的此 IP 的影响。我正在使用针对 DDOS 攻击配置的 fail2ban,但看起来我遗漏了一些东西。

服务器是运行 Ubuntu 12.04 的虚拟机

4

2 回答 2

1

Fail2ban只会对产生某种错误的客户端做出反应。

这可能是由Slowloris攻击造成的。它的工作原理是打开一个连接,并通过不断地向请求中添加一些东西来尽可能长时间地保持它的打开状态。然后其他此类连接被打开并保持打开状态。

因此,可能的解决方案是限制每个客户端的打开连接。

这可以直接使用 iptables 来完成,如此处所述,或者使用适当的 apache 模块(如果这是您的网络服务器)。

为此目的明确设计的一个是mod_antiloris,另一个更可配置的是mod_qos

于 2015-02-05T18:18:55.060 回答
0

最后,我设法通过遵循本服务器安全教程来阻止攻击:https ://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-part-1-basics#comment -1091

于 2015-02-05T19:26:44.727 回答