一回の真実なDDoS攻撃は実戦を防御します。

第1ラウンドの攻撃：時間：午後15時30分ごろに突然会社のweb serverがアクセスできないことを発見しました。遠隔登録を試みました。接続できなくて、idcを呼んでサーバーを再起動します。起動直後にログインしてみたら、攻撃はまだ続いています。そして、apacheの全230のプロセスは全部作業状態です。サーバーが古いので、メモリは512 mしかないので、システムはswapを使い始めて、システムは休止状態に入ります。そこですべてのhttpdを殺して、後でサーバーは正常に回復して、ロードは140から正常な値に下がります。トラッキングを開始し、フローが小さいことが分かりました。攻撃は停止されたようです。httpdを起動してみます。システムは正常です。httpdログを見てみると、五湖四海からのIPはlogin.phpを試していますが、誤ってurlを渡しています。そこにはlogin.phpがありません。他のログは基本的に正常です。limit RSTを除いて。などが多くて、攻撃中の接続数が大きいので、このログが出るのも正常です。10分間観察して攻撃が止まった。第二ラウンド攻撃：時間：午後17時50分前の攻撃経験があるので、ウェブセーバーの状態を確認し始めました。ちょうど17時50分、マシンロードが急に上昇しました。基本的には確定できます。もう一回の攻撃が始まります。まずhttpdを止めました。もう動けないので、仕方がないです。その後、ラップ、tcpdump-c 10000-i em 0-n dst port 80-/root/pktsは大量のデータが殺到していることを発見しました。その中で、IPは非常に集中していません。DDoSは次に前回ログからフィルタリングした怪しいアドレスに属していると疑い、今回のトラッキング結果を比較して、多くの重複記録を出しました。解析：これは簡単なDDoSではありません。httpdプロセスはすべて起動され、ログを残しています。そして、クローズド記録によって、各住所に全部3回の握手があります。したがって、すべての攻撃源は真実であり、虚偽のIPではないと確定しました。このような怪しいIPは全部で265つあります。基本的には海外です。ヨーロッパが多く、特にスペインが多いです。会社のお客さんはヨーロッパにいます。採用した対策：すべての265個のIPをすべて_に加入する。blank">ファイアウォールは、すべてipfw add 550 deny tcp from%to me 80をフィルタリングし、httpdを再起動する。3時間観察しましたが、ipfwリストのすべてのACLのデータの量は依然として増加し続けていますが、会社のweb serverは正常に動作しています。これで一旦攻撃が一段落しましたが、後から続くことは排除できません。しかし、攻撃者が使うのは全部本物の鶏肉で、同時に300個以上の鶏肉を握るのは珍しいので、基本的には短期間で攻撃を再開することはできません。