论坛遭受到的DDOS攻击细节报告

小熊笨笨

　时间：2005.6.12 下午13点10左右

　　刚才一边发贴，一边观测服务器的状态，突然发现服务器极其缓慢。一个命令需要执行两分钟，执行了一下top命令，耐心等待结果，发现有320个进程（一般当前这种负荷40-80进程比较正常）。立即执行shutdown -r now,重起机器。启动后立即登录察看，发现攻击还在继续，并且apache的进程数在两分钟内一路从50个进程攀升到230个，而且进程全部处于工作状态。由于服务器内存只有512m，于是系统开始用swap，系统开始放慢。于是杀掉所有web服务器（httpd），服务器立即恢复正常，进程数从降回正常值38。

　　开始使用netstat -a抓包，发现来自几个IP地址的连接接数量较大，而且状态处于
FINAL_WAIT_1; 使用IPFW防火墙拒绝这几个IP的一切访问。　然后重新启动web服务器（httpd），观察10分钟，发现攻击停止，进程数维持在50个左右。

小熊笨笨

下面是这十分钟IPFW拒绝的ip地址日志：
01200   1342     85888 deny ip from 61.48.51.205 to any
01300     24      1152 deny ip from 211.147.247.41 to any
01400     50      2400 deny ip from 219.137.13.105 to any
01500      3       144 deny ip from 218.104.116.252 to any

上面日志里第二列是包数目（也就是服务器请求数目）。这样段的时间内从 61.48.51.205（北京）这个地址发出1342次http请求，绝对不是人正常的访问数目

小熊笨笨

每天北京时间10:30 - 19:00之间是攻击的高峰。因为白天俺在公司的防火墙后面，不能登陆到ssh,所有遇到攻击时什么都不能做。今天第一次有机会观测到这种攻击。 周中的攻击或许会更加猛烈，apple，如果那天有空，请监测一下. 辛苦了

apple3800

10:30 ~ 12:00 刚好在睡觉前，我可以检测。

FCH

听起来挺好玩的，可惜俺不会玩这游戏，：）辛苦两位了。

apple3800

差不多十一点时，论坛又访问出错， top 显示正在运行进程三百多个，重起 httpd 之后基本正常。也没有封任何 ip。

小熊笨笨

辛苦了，Apple！ 昨天重起了吗？ 重起前用ipfw show看到哪些被封的IP有显著的请求数目？用netstat -a 看连接了吗; 重起后的netstat -a 呢？

小熊笨笨

俺的经验，自10.45左右，论坛出问题的机率暴高， 俺遇到过不下于6次。 很wonder在这之前的CPU进程数目，是突然增长到这样大数目的进程吗？

apple3800

之前都是100左右，走开了一会儿后，回来就成为 300 以上了，只是重起了 http 服务，之后基本保持在 100 左右，一度上升到 150 左右，又自动降回正常数。用 netstat -a 看了两次，有两个 ip 有些可疑，但不能确定为攻击者，就没有封。那两个ip是 218.62.24.170 和 221.197.92.71 一个是吉林的，另一个是天津的。