问题标签 [ddos]

Heroku 现在似乎正受到 DDoS 攻击，这导致整个站点出现间歇性可用性问题，这些问题在（当然！）我的应用程序上表现出来。

我最近看到了很多这样的攻击，包括几个月前对 Register.com 的大规模 DDoS 攻击。

我的问题是，如果攻击者瞄准 Heroku 的一个客户会发生什么？

Heroku 是否保护单个应用程序免受 DoS 和 DDoS 攻击？

最近，我的一台服务器被一些中国 IP （这些 IP 并不总是相同）的一些 dos 攻击（数千个请求/分钟）作为目标。

所以在我的框架开始时，我做了一个小函数来阻止一个 ip 如果它发出了太多请求。

• 基本上，脚本会检查当前 ip 是否在文件“ipBlocked”中找到，如果发现它死了。
• 如果未找到，则将当前 ip 添加到文件记录器“ipLogger”中。
• 在此之后，它会计算文件 ipLogger 中 ip 的出现次数，如果它们 > $max 它会通过将 ip 添加到文件 ipBlocked 来阻止该 ip

ATM 正在工作.. 它已经禁止了一些中文/tw ip

这个脚本的瓶颈是搜索功能，它必须计算一个字符串（ip）文件中出现的次数。出于这个原因，我将文件保持在低位（iplogger 文件在记录到 600-700 ips 后立即被截断）

当然要在文件中添加 ips 而不必担心竞争条件，我这样做：

我遇到的唯一问题是 NAT 背后的人。他们都有相同的IP，但他们的请求不应该被阻止

我们正在进行 PCI 合规性检查，并且我们的外部名称服务器（所有 Windows Server 2008 R2）已被 Nessus 插件 ID：35450（下文详述）击中。虽然这是一个低严重性的打击，但我在标题中看到了 DDoS，我吓坏了。

插件 ID：35450 名称：DNS 服务器欺骗请求放大 DDoS 概要：远程 DNS 服务器可用于分布式拒绝服务攻击。插件输出：DNS 查询长 17 字节，答案长 449 字节。

我用谷歌搜索了这一切无济于事。如果您有任何建议，请回复。

我确实找到了测试方法（如下），但在任何缓解步骤上都没有运气......

在 Linux 上：挖掘 . NS @
[例如：挖掘。NS@192.168.1.1]

或在网上：http: //isc1.sans.org/dnstest.html

如果我在呈现我的 HTTP 响应时引入Thread.Sleep(x)延迟，哪里x会根据来自给定 IP 的请求率而改变：从请求率低时为零，如果请求一个接一个地跟随，则逐渐增加。

这是防止 DDOS 的可行解决方案吗？

弱点是什么？

相关： C++ Winsock API 如何在接受连接之前获取连接客户端 IP？

嗨，当您运行 TCP 服务器（用 C 语言编写，使用 Berkeley Socket API）时，是否可以在实际接受连接之前读取客户端的 IP 地址/端口？

据我所知，如果您因为 IP 地址而不想与给定客户端通信，则必须先accept连接，然后再直接连接。shutdown

伪代码（我正在寻找peekandrefuse方法）：

我使用 urllib2 制作了一个程序，它在网络上建立了很多连接。我注意到最终这可能是 DDoS 值得的；我想知道在我完成业务后如何关闭每个连接以防止此类攻击。

我用来打开连接的代码是：

我正在开发一个系统，其主要关键应该是安全性。所以我必须考虑最薄弱的地方，它可能会被破坏。可能，第一个是蛮力和 DDOS 攻击。我已经阅读了很多“最佳实践”来对抗它们，我想做的第一件事就是启用某种动态 IP 限制。我认为这类问题非常流行，并且 IIS（我使用的是 IIS 7）将具有一些在内核级别阻止恶意请求的内置功能，因此它比编写自己的 asp.ent 模块要快得多，或 WCF 扩展（我使用 WCF 服务作为额外的安全层）。

我发现的最好的东西是 IIS 7 附加“动态 ip 限制”（http://learn.iis.net/page.aspx/548/using-dynamic-ip-restrictions/?FeaturePage=4FA9C136-25BD-4833- 853A-99EAAD0754D2），但是有一个非常烦人的功能缺失部分 - 我无法设置 IP 地址的禁用时间，我什至不知道。我在互联网上看到在以前的版本中启用了它，我想知道为什么他们在新版本中将其关闭...

无论如何，也许有人知道一个好的解决方案？我会考虑编写自己的内核级模块的选项（我不确定在 IIS7 集成模式下，asp.net 托管模块是否是 IIS 内核模块，它们的生命周期是什么），但有可能从IIS 管理器，就像那个“动态 IP 限制”插件一样，但最好的选择是现成的产品。

截至 7 月 4 日，我的访问日志中收到了数百行相同的请求。这个在这个日期前后的几个小时内出现了数千次：

86.128.198.216 - - [22/Jul/2011:00:44:16 +0100] "GET /404.htm HTTP/1.1" 302 414 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; GTB7.1; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; .NET4.0C)"

还有其他的——在上述几行之前，有数百个这样的例子：

92.23.237.48 - - [21/Jul/2011:23:36:24 +0100] "GET /404.htm HTTP/1.1" 302 414 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; GTB6.6; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; eSobiSubscriber 2.0.4.16; .NET4.0C; InfoPath.1; BRI/2)"

以及请求 404.htm 数百/数千时间的许多其他类似 IP。因此，我们已经超过了 100GB 带宽，并且我们的网站目前已关闭。

该网站很小（每月访问量约为 2-3000 次），我无法真正弄清楚发生了什么。任何帮助/建议将不胜感激，因为我通常不处理网络的管理员方面，因为直到几个月前，我们才有一个人专门处理这个问题。

等待我的虚拟主机公司解决这个问题是痛苦的。

谢谢，

富有的

我正在为 Flash 网页游戏开发 Java 后端 - 客户端和服务器使用动作消息格式 (AMF) 进行通信。几周前，我们公司的另一个团队的产品被一名反编译 Flash 客户端的用户入侵，并使用更改后的版本向后端充斥着虚假请求。我们想在我们的新游戏中防止这种攻击。

（更多细节：使用的网络服务器是 Tomcat，AMF 客户端是 BlazeDS。）

我想知道防止这种攻击的最佳方法是什么。我的一些想法：

• nginx 配置似乎是处理速率限制的最佳位置，但我找不到任何关于 nginx 如何与 AMF 交互的资源。AMF 请求是否直接发送到 Tomcat？

• 大多数请求都涉及相关用户的 userId 参数。涉及过度使用的用户 ID 的限速请求可能是一种方法 - 但是，只想淹没服务器的攻击者可以轻松地向随机用户 ID 发送垃圾邮件。

• 执行与上述相同的操作，但使用 IP 地址代替 userIds 可以工作。但是，我不知道是否可以从 AMF 请求中获取 IP 地址。

我正在尝试限制对内部站点上 API 的请求

我已经设法实现 mod_evasive 以在特定时间在特定数量后成功阻止请求。

但这会给 webUI 的用户带来问题

我尝试将 mod_evasive 的范围限制为 api 目录，但 Apache2 抱怨配置文件无效

有什么想法吗？