[讨论]最近饱受DDOS&CC攻击.求助. DDOS, amp, 攻击, 求助, 讨论

richy

[讨论]最近饱受DDOS&CC攻击.求助.
议题作者：ReJeCt
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

最近公司网站一直有遭到DDOS/CC这类攻击..开始F5设备的防DDOS功能还有点效果.后来攻击流量太大..造成F5挂掉..后来上了黑洞,DDOS倒是好了点..
结果TM的.CC攻击来了蛮多的...

问了蛮多人,也和幻影的刺有过交流.但是CC这东西确实是个难防范的..黑洞防CC就是鸡肋.还有一台tippingpoint没测试.到时候测试下看看的...

来问一下这里的牛人朋友们那....
1,unix里如何判断是哪种类型的攻击.
2,CC这东西到底如何防御呢? 我们是unix os, php mysql的web.8台web集群 2台DB, F5做负载均衡

B.c.T啊B.c.T~~~
帖子34 精华0 积分111 阅读权限100 在线时间92 小时 注册时间2005-3-20 最后登录2008-7-15 查看个人网站
查看详细资料引用 报告 回复 TOP 良辰择日，预测咨询，公司改名，权威易经

eviloctal
团队执行官

枫枫

貌似，之前EST的服务器放在广东的时候，Helvin在服务器上做过cc安全防护，好像影响到了爬虫。
期待Helvin出来给reject解答。曾几何时，有人对我说：装B遭雷劈。我说：去你妈的。于是，这个人又对我说：如果再说脏话，上帝会惩罚你的。我说：**上帝。结论：彪悍的人生不需要上帝。

帖子9803 精华768 积分40177 阅读权限200 性别男 在线时间3968 小时 注册时间2004-7-4 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP 爱要怎么说出口

Helvin
团队决策人

铁观音

CC的IP都是真实的，而且大多具有规律性，提取日志审计，可以把他们全部封掉
如果IP太多，可以利用附加随机cookies id，在服务器上加cookies验证，然后跳转，会影响到引擎
然后就是优化程序，尽可能多的cache不会改变的程序执行结果。可以是内存cache也可以是硬盘文件cache幸福，那就是……我饿了，看别人手里拿个肉包子，那他就比我幸福；我冷了，看别人穿了一件厚棉袄，他就比我幸福；我想上茅房，就一个坑，你蹲那了，你就比我幸福。
帖子644 精华22 积分5000 阅读权限255 在线时间1758 小时 注册时间2005-1-7 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP 您知道您年薪应是多少?

reject
荣誉会员

SPZLH

引用:
引用第2楼Helvin于2007-10-12 14:54发表的 :
CC的IP都是真实的，而且大多具有规律性，提取日志审计，可以把他们全部封掉
如果IP太多，可以利用附加随机cookies id，在服务器上加cookies验证，然后跳转，会影响到引擎
然后就是优化程序，尽可能多的cache不会改变的程序执行结果。可以是内存cache也可以是硬盘文件cache
黑洞里到是有URL后面加随机参数的设置.但是用户体验不太好..用户会觉得怎么URL这么长`

我们的网站上都已经是生成静态文件了.当好像效果不是很好..
一有CC.apache连接数就翻倍上去.B.c.T啊B.c.T~~~
帖子34 精华0 积分111 阅读权限100 在线时间92 小时 注册时间2005-3-20 最后登录2008-7-15 查看个人网站
查看详细资料引用 报告 回复 TOP

reject
荣誉会员

shenbi

而且据说从web上防范CC效果不是太理想...
从系统上才可以防止CC? 但是系统上该怎么处理呢, apache模块? apache连接耗尽?
还是我们可以从mysql里优化一些参数?B.c.T啊B.c.T~~~
帖子34 精华0 积分111 阅读权限100 在线时间92 小时 注册时间2005-3-20 最后登录2008-7-15 查看个人网站
查看详细资料引用 报告 回复 TOP 软件项目外包

Helvin
团队决策人

ecc83

是哪个UNIX发行版？最好是BSD类，可以看一下accept_filter(9)。微调内核，缩短持续等待时间，把httpd keepalive关闭,如果都是静态了那就不存在CC问题了，用lighttpd或者nginx顶一下。用ipfw，pf等限制下并发幸福，那就是……我饿了，看别人手里拿个肉包子，那他就比我幸福；我冷了，看别人穿了一件厚棉袄，他就比我幸福；我想上茅房，就一个坑，你蹲那了，你就比我幸福。
帖子644 精华22 积分5000 阅读权限255 在线时间1758 小时 注册时间2005-1-7 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP 良辰择日，预测咨询，公司改名，权威易经

Helvin
团队决策人

wrong_sl

CC很多种，有些带GET请求，有些不带GET，tcpdump抓一下包分析下。具体情况具体对待，有些时候迅雷能把服务器拖死，情况跟CC中的一种类似幸福，那就是……我饿了，看别人手里拿个肉包子，那他就比我幸福；我冷了，看别人穿了一件厚棉袄，他就比我幸福；我想上茅房，就一个坑，你蹲那了，你就比我幸福。
帖子644 精华22 积分5000 阅读权限255 在线时间1758 小时 注册时间2005-1-7 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

reject
荣誉会员

陈有才

谢谢helvin给了这么多的指导B.c.T啊B.c.T~~~
帖子34 精华0 积分111 阅读权限100 在线时间92 小时 注册时间2005-3-20 最后登录2008-7-15 查看个人网站
查看详细资料引用 报告 回复 TOP

血狐
晶莹剔透§烈日灼然

虎口

论坛上面有关于Linux+Apache的服务器配置的电子书应该对你有帮助　你可以去看看

帖子53 精华0 积分173 阅读权限40 性别男 在线时间171 小时 注册时间2007-5-9 最后登录2008-2-25 查看详细资料引用 报告 回复 TOP

!ike.dance
晶莹剔透§烈日灼然

only2

cc攻击主要是。抓代理。每次攻击的的代理都是随机的。
但是就是固定的IP。也就是说。
本次攻击你的。。一直保持原IP。
你可以在路由IP策略中封掉他。或者在路由中封掉他的IP啊
最后给110警察叔叔打电话。

帖子3 精华0 积分7 阅读权限40 性别男 来自chian.z 在线时间13 小时 注册时间2007-8-15 最后登录2008-2-17 查看详细资料引用 报告 回复 TOP

Helvin
团队决策人

44447777kun

代理很容易禁止掉的，现在流行肉鸡CC。警察都是SB，取证很麻烦的，朋友的服务器被ARP攻击，服务器就在本机柜都那他没办法，还要去天津鉴定。幸福，那就是……我饿了，看别人手里拿个肉包子，那他就比我幸福；我冷了，看别人穿了一件厚棉袄，他就比我幸福；我想上茅房，就一个坑，你蹲那了，你就比我幸福。
帖子644 精华22 积分5000 阅读权限255 在线时间1758 小时 注册时间2005-1-7 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP

langouster
荣誉会员

→有几坏←

对于windows IIS还比较好处理，用ISAPI就行了，对于其它的服务器就要在web应用程序上实现了。
首先由ISAPI Filter检查每一个请求的Cookie中是否包含服务器先前设置的标记位，如“AntiCC=1”，如果有则说明是正常的访问，如果没有则拦截此请求，返回如下内容“<script language=&#39;javascript&#39;>document.cookie="AntiCCID=1";document.location.reload(false);</script>”，如果是正常的浏览器浏览网页就会在刷新页面时和之后的请求上都加上“AntiCC=1”，但如果是CC攻击或下载工具盗链，由于代理服务器和下载软件没有脚本执行功能，所以下一次请求还是不会有“AntiCC=1”标记，而没有这个标记的请求只是被ISAPI Filter拦截和返回一个短字符串，并没有执行动态页面脚本，所以服务器资源消耗非常少，可以十分有效的防御CC攻击。我的BLOG:http://www.langouster.com

帖子48 精华10 积分3538 阅读权限100 性别男 在线时间80 小时 注册时间2006-7-22 最后登录2008-7-14 查看个人网站
查看详细资料引用 报告 回复 TOP

黑伤血
晶莹剔透§烈日灼然

鸥飞007

使用CAR限制速率
??在最终攻击目标的网络边界路由器上使用CAR限制是一种更为可取的方法。通过CAR可以将流入网络的某一类数据包的总流量限制在一定的范围，从而可以保证其它数据的正常通过。做人一定要低调，不要以为你很牛。。。。。

帖子22 精华0 积分73 阅读权限40 性别男 在线时间0 小时 注册时间2007-4-6 最后登录2008-6-25 查看详细资料引用 报告 回复 TOP

badwolf
晶莹剔透§烈日灼然

paul2014

一般大的虚拟主机提供商，一般小规模的上的都是硬防火墙，大规模攻击 只能换IP.
帖子3 精华0 积分13 阅读权限40 来自hackbase.com 在线时间13 小时 注册时间2005-7-5 最后登录2008-6-27 查看个人网站
查看详细资料引用 报告 回复 TOP

xueht
晶莹剔透§烈日灼然

jacky6636

换IP也不行，我们换IP，他们还是能查到照样攻击。我公司的URL转发服务器一直被攻击着，好像是针对某个域名或多个域名。上万个域名也查不出来~~ linux AS4,有什么更好的方法吗？？
帖子2 精华0 积分17 阅读权限40 性别男 在线时间34 小时 注册时间2007-3-6 最后登录2008-5-19 查看详细资料引用 报告 回复 TOP

reject
荣誉会员

金羊

郁闷.原来DDOS打流量过来也是挡不住....
抓包看了下...这些包都能经过黑洞到达服务器上....apache连接数一下子从几百多到1500了
引用:
tcp    0   0 ::ffff:60.191.x.136:80   ::ffff:220.163.63.217:9508 ESTABLISHED
tcp    0   0 ::ffff:60.191.x.136:80   ::ffff:220.163.63.217:9511 ESTABLISHED
tcp    0   0 ::ffff:60.191.x.136:80   ::ffff:220.163.63.217:9510 ESTABLISHED
tcp    0   0 ::ffff:60.191.x.136:80   ::ffff:220.163.63.217:9513 ESTABLISHED
tcp    0   0 ::ffff:60.191.x.136:80   ::ffff:220.163.63.217:9512 ESTABLISHED
tcp    0   0 ::ffff:60.191.x.136:80   ::ffff:220.163.63.217:9514 ESTABLISHED
tcp    0   0 ::ffff:60.191.x.136:80   ::ffff:220.163.63.217:9517 ESTABLISHED
tcp    0   0 ::ffff:60.191.x.136:80   ::ffff:220.165.114.152:2855 ESTABLISHED
tcp    0   0 ::ffff:60.191.x.136:80   ::ffff:220.163.63.217:9516 ESTABLISHED
tcp    0   0 ::ffff:60.191.x.136:80   ::ffff:220.163.63.217:9519 ESTABLISHED
tcp    0   0 ::ffff:60.191.x.136:80   ::ffff:220.163.63.217:9518 ESTABLISHED
tcp    0   0 ::ffff:60.191.x.136:80   ::ffff:220.163.63.217:9489 ESTABLISHED
引用:
13:47:44.774096 IP 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4703 > 60.191.x.136.http: . ack 3550958017 win 65535
13:47:44.775825 IP 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4704 > 60.191.x.136.http: S 683350964:683350964(0) win 65535 <mss 1414,nop,nop,sackOK>
13:47:44.775832 IP 60.191.x.136.http > 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4704: S 3562215329:3562215329(0) ack 683350965 win 5840 <mss 1460,nop,nop,sackOK>
13:47:44.862201 IP 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4704 > 60.191.x.136.http: . ack 1 win 65535
13:47:47.400281 IP 60.191.x.136.http > 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4663: F 3539790012:3539790012(0) ack 2768547408 win 5840
13:47:47.486058 IP 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4663 > 60.191.x.136.http: . ack 1 win 65535
13:47:47.487410 IP 60.191.x.136.http > 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4664: F 3539652424:3539652424(0) ack 3330787082 win 5840
13:47:47.573269 IP 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4664 > 60.191.x.136.http: . ack 1 win 65535
13:47:47.576539 IP 60.191.x.136.http > 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4665: F 3542556988:3542556988(0) ack 1141972832 win 5840
13:47:47.663951 IP 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4665 > 60.191.x.136.http: . ack 1 win 65535
13:47:47.665117 IP 60.191.x.136.http > 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4666: F 3547975876:3547975876(0) ack 1990769638 win 5840
13:47:47.755057 IP 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4666 > 60.191.x.136.http: . ack 1 win 65535
13:47:47.755917 IP 60.191.x.136.http > 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4667: F 3542330605:3542330605(0) ack 3355434021 win 5840
13:47:47.807494 IP 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4705 > 60.191.x.136.http: S 986174197:986174197(0) win 65535 <mss 1414,nop,nop,sackOK>
13:47:47.807501 IP 60.191.x.136.http > 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4705: S 3552964699:3552964699(0) ack 986174198 win 5840 <mss 1460,nop,nop,sackOK>
13:47:47.844694 IP 60.191.x.136.http > 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4668: F 3536262599:3536262599(0) ack 2936127760 win 5840
13:47:47.846367 IP 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4667 > 60.191.x.136.http: . ack 1 win 65535
13:47:47.896043 IP 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4705 > 60.191.x.136.http: . ack 1 win 65535
13:47:47.897569 IP 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4706 > 60.191.x.136.http: S 1938468092:1938468092(0) win 65535 <mss 1414,nop,nop,sackOK>
13:47:47.897576 IP 60.191.x.136.http > 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4706: S 3561510957:3561510957(0) ack 1938468093 win 5840 <mss 1460,nop,nop,sackOK>
13:47:47.931899 IP 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4668 > 60.191.x.136.http: . ack 1 win 65535
13:47:47.985406 IP 244.252.163.220.broad.bs.yn.dynamic.163data.com.cn.4706 > 60.191.x.136.http: . ack 1 win 65535
附件里有一个抓包...Helvin帮忙看看?
附件
tcp.220.163.252.rar (3 KB)
2007-10-16 14:03, 下载次数: 26 B.c.T啊B.c.T~~~
帖子34 精华0 积分111 阅读权限100 在线时间92 小时 注册时间2005-3-20 最后登录2008-7-15 查看个人网站
查看详细资料引用 报告 回复 TOP

hack520
运维管理组

小乖

在全国各地做节点...这样可OK了...或者加带宽..加个10G带宽..不用猪墙就能顶住攻击~`Www.China-Mu.Co.Kr 猪毛奇迹 1.02Q 将带给你无比的震撼。
帖子1082 精华6 积分5597 阅读权限150 性别男 在线时间576 小时 注册时间2005-3-18 最后登录2008-7-2 查看个人网站
查看详细资料引用 报告 回复 TOP

Helvin
团队决策人

喂食猫

引用:
引用第15楼reject于2007-10-16 14:03发表的 :
郁闷.原来DDOS打流量过来也是挡不住....
抓包看了下...这些包都能经过黑洞到达服务器上....apache连接数一下子从几百多到1500了



.......
tcpdump抓包不是这么抓的
tcpdump -w tofile
把tofile发出来，就可以用Wireshark看了。如果你在本地看最好加-n参数关闭反向解析

这个不像攻击，这些IP都是真实的，数据包你可以用pf或者IPFW Drop掉，看一下Apache日志。也许就是某个文件被多线程下载了

你可以用mod_limitipconn禁止某些文件多线程下载。

另外关闭ipv6你可以更快的相应网络连接幸福，那就是……我饿了，看别人手里拿个肉包子，那他就比我幸福；我冷了，看别人穿了一件厚棉袄，他就比我幸福；我想上茅房，就一个坑，你蹲那了，你就比我幸福。
帖子644 精华22 积分5000 阅读权限255 在线时间1758 小时 注册时间2005-1-7 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP

Helvin
团队决策人

jinyuwei

引用:
引用第14楼xueht于2007-10-16 10:44发表的 :
换IP也不行，我们换IP，他们还是能查到照样攻击。我公司的URL转发服务器一直被攻击着，好像是针对某个域名或多个域名。上万个域名也查不出来~~ linux AS4,有什么更好的方法吗？？
如果是针对IP流量攻击那基本没有办法，“基本”的意思大家也是知道的。但是如果是连接耗尽攻击也许有些方法缓解幸福，那就是……我饿了，看别人手里拿个肉包子，那他就比我幸福；我冷了，看别人穿了一件厚棉袄，他就比我幸福；我想上茅房，就一个坑，你蹲那了，你就比我幸福。
帖子644 精华22 积分5000 阅读权限255 在线时间1758 小时 注册时间2005-1-7 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP

hzx198886
晶莹剔透§烈日灼然

风影

cc是利用大量代理服务器发起的攻击，设置服务器屏弃代理服务器的访问
帖子5 精华0 积分20 阅读权限40 性别男 在线时间7 小时 注册时间2007-1-13 最后登录2008-6-25 查看详细资料引用 报告 回复 TOP

dem
晶莹剔透§烈日灼然