关于DoS攻击

小熊笨笨 · 发表于 2005-3-24 21:46:08

服务器报告最近三天受到的三次DoS攻击，ip地址和来源如下：　

218.104.57.6 2005-3-22 江苏省常州市网通
204.174.64.34 2005-3-23 加拿大 North America Canada
205.206.199.196 2005-3-24 加拿大 North America Canada/加拿大 TELUS通信公司

论坛有两位用户的发贴IP曾经与上面相同：

quick18的IP地址是204.174.64.34 : diane.nssi.telus.com
czsurgeon 218.104.57.6的IP地址是218.104.57.6

另外一位论坛用户IP地址来自同一区域：

riqi的IP地址是 205.206.113.17，加拿大 North America Canada/加拿大 TELUS通信公司

谢谢apple安装的apache mod_dosevasive模块

dawn0065 · 发表于 2005-3-24 22:01:39

我们已经能够抵御这样的攻击了么?!

我觉得有必要发布公告,一来说明最近论坛访问困难的原因,二来警告攻击者:若想人不知,除非己没为!!!

小熊笨笨 · 发表于 2005-3-24 22:17:38

mod_dosevasive是一个Apache的模块，它可以用来对抗一些基于HTTP的拒绝服务攻击.mod_dosevasive如发现某IP地址有如下的行为将拒绝该IP的访问：

1. 每秒对同一页面的请求数超过平时。
2. 每秒同一个子进程超过50次的请求。
3. 临时被拒绝的时候还不断进行请求。

由于每次接入时IP地址会发生变化；因而无法确认是否这些攻击IP的地址恰好与这些发贴用户相同。

另外来自北京的论坛用户wanming　用 TelePort Pro离线工具从服务器上下载了大约5G的页面。也给服务器造成比较大的影响。

笨笨正在更深入了解一些细节和监测类的工具。　如果有进一步和肯定的判断，会有些措施。

FCH · 发表于 2005-3-25 02:28:01

也是一场没有硝烟的战争呀。。。

dawn0065 · 发表于 2005-3-25 08:45:38

我之后又想到仅靠IP地址警告或拦截某会员是不合适的，因为他（她）本身可能就是一个被利用的“僵尸”，还好有笨笨和苹果，比我想得周全多了。

apple3800 · 发表于 2005-3-25 15:28:07

DoS 以及 DDoS 都是没有办法彻底的防止的，这本身就是TCP协议的设计“缺陷”，只能通过变通的方法来提高系统抵御的能力。

FCH · 发表于 2005-3-25 16:26:10

真在这里遇到两个高手耶。。。

btw，你们有攻击别的网站的经验吗？是不是特刺激？嘿嘿。。。

apple3800 · 发表于 2005-3-25 18:17:20

我不喜欢 DoS 或是 DDoS 攻击。对于拿主机的权限还是有些兴趣。虽然研究过一下 internet 网络安全，但都是用来防御的，没有真正攻击过别人。

suiping · 发表于 2005-3-28 20:57:45

要引起重视！前段时间，埃德蒙顿地区有人和老杨他们有过节，就到论坛上来捣乱。我和apple等谈及过此事，请大家留意一下。笨笨和大家看看有没有必要把值得怀疑的ip记录下来和老杨的坛里的ip作个比较，搞清是谁在捣乱。

我警告过sunrise22204，但他一直没读坛我发的信。他的邮件地址也是假的。请大家都留意一下。

apple3800 · 发表于 2005-4-9 11:59:42

现在是周末，访问的人数不多，但是进程数目异常多，在总进程数目到达 430 的时候，服务器出现无法访问，只能重起 apache，恢复服务。(小熊又重起了服务器？)

目前的在线用户数目正常 96 (48 位会员和 48 位游客) 。但是进程数目还是处于过高的临界数量，差不多200 个，这种访问量的正常情况下应该不到 100。

现在想进行限制每个 ip 的进程数目，但是有可能对用代理上网的用户造成不良影响，大家的意见如何？

apple3800 · 发表于 2005-4-9 12:25:52

真奇怪，今天的进程数目一直高居不下。前两天也有一些异常。小熊有无收到 DoS 攻击报告？

		自动登录	找回密码
密码			注册