第一輪進(jìn)攻：

時(shí)間:下午15點(diǎn)30左右

突然發(fā)現(xiàn)公司的web server無(wú)法訪(fǎng)問(wèn)，嘗試遠(yuǎn)程登錄，無(wú)法連接，呼叫idc重啟服務(wù)器。啟動(dòng)后立即登錄察看，發(fā)現(xiàn)攻擊還在繼續(xù)，并且apache所有230個(gè)進(jìn)程全部處于工作狀態(tài)。 由于服務(wù)器較老，內(nèi)存只有512m，于是系統(tǒng)開(kāi)始用swap，系統(tǒng)進(jìn)入停頓狀態(tài)。于是殺掉所有httpd，稍后服務(wù)器恢復(fù)正常，load從140降回正常值。

開(kāi)始抓包，發(fā)現(xiàn)流量很小，似乎攻擊已經(jīng)停止，嘗試啟動(dòng)httpd，系統(tǒng)正常。察看httpd日志，發(fā)現(xiàn)來(lái)自五湖四海的IP在嘗試login.php，但是它給錯(cuò)了url，那里沒(méi)有l(wèi)ogin.php， 其他日志基本正常，除limit RST ....之類(lèi)較多，由于在攻擊中連接數(shù)很大，出現(xiàn)該日志也屬正常。

觀(guān)察10分鐘，攻擊停止。

第二輪進(jìn)攻：

時(shí)間:下午17點(diǎn)50分

由于有了前次攻擊經(jīng)驗(yàn)，我開(kāi)始注意觀(guān)察web server的狀態(tài)，剛好17點(diǎn)50分，機(jī)器load急劇升高，基本可以確定，又一輪攻擊開(kāi)始。

首先停掉了httpd，因?yàn)橐呀?jīng)動(dòng)彈不得，沒(méi)辦法。然后抓包，tcpdump -c 10000 -i em0 -n dst port 80 > /root/pkts發(fā)現(xiàn)大量數(shù)據(jù)報(bào)涌入，過(guò)濾其中IP， 沒(méi)有非常集中的IP，于是懷疑屬于DDoS接下來(lái)根據(jù)上次從日志中過(guò)濾得到的可疑地址，比較本次抓包結(jié)果，發(fā)現(xiàn)很多重復(fù)記錄。

分析：

這不是簡(jiǎn)單的DDoS，因?yàn)樗衕ttpd進(jìn)程都被啟動(dòng)，并且留下日志，而且根據(jù)抓包記錄，每個(gè)地址都有完整的三次握手，于是確定，所有攻擊源都是真實(shí)存在的，不是虛假的IP。

這樣的可疑IP一共有265個(gè)，基本上都是國(guó)外的，歐洲居多，尤其西班牙。公司客戶(hù)在歐洲的可為鳳毛麟角，只有丟卒保車(chē)了。

采取的措施：

把所有265個(gè)IP，統(tǒng)統(tǒng)加入防火墻，全部過(guò)濾ipfw add 550 deny tcp from % to me 80，重新啟動(dòng)httpd。

觀(guān)察了3個(gè)小時(shí)，ipfw列表中所有ACL的數(shù)據(jù)報(bào)量仍舊持續(xù)增長(zhǎng)，但是公司的web server已經(jīng)工作正常。

至此，此次攻擊暫告一段落，不排除稍后繼續(xù)發(fā)生，但是由于攻擊者使用的都是真實(shí)肉雞，同時(shí)掌握超過(guò)300個(gè)肉雞實(shí)屬罕見(jiàn)，因此基本上他不能夠在短期內(nèi)重新發(fā)動(dòng)進(jìn)攻。

返回首頁(yè)>>