拒绝服务攻击

Date: Saturday April 22, 2006
Posted in: 技术

突然发现ssh连接上服务器之后，敲个命令N长时间都没有反应，第一个反应就是被拒绝服务攻击啦。拒绝服务攻击我是见过很多了-_-!!是垃圾邮件？先把Postfix关了…我倒，postfix stop这么命令敲了很长时间都没反应，算了，直接kill之。但是这时服务器负载还是很高，于是killall -9 httpd。还是不行，不过ps命令已经可以列出进程了，看到proftpd的进程N多。终止proftpd后负载就一下子降下来了，那攻击者很可能就是对proftpd进行全连接攻击了，因为这台服务器ftp提供下载的东西很少，不应该有那么多连接建立的。

按顺序开启mail、web服务，没什么问题。再开ftp，服务器的负载又上升了，基本确定是针对21端口的攻击。这台破机器装的是RH9，唉唉，他带的iptables太老了。于是从Fedora那里下载了FC3的iptables-1.2.11-3.1.FC3.src.rpm，重新编译打包并安装，这样就有一个libipt_connlimit.so可以用了。嗯，还需要一个内核模块，从netfilter的ftp下载patch-o-matic-ng解压，./runme connlimit，然后重新编译内核模块，把得到的ipt_connlimit.o拷到相应的目录，depmod -a;iptables -A INPUT -i eth0 -p tcp -m tcp –dport 21 –tcp-flags SYN,RST,ACK SYN -m connlimit –connlimit-above 3 –connlimit-mask 32 -j REJECT –reject-with tcp-reset。问题解决:)

2 Comments

RSS feed | Trackback URI

。。。真的都看不懂。。。
～～～～>.

Comment by qqmm on April 25th, 2006 @ 11:47 am

hmqq 做这个成为一种兴趣了。
发现自己对技术的执着越来越少了。

Comment by err0r2_0x40_Javaphile on May 7th, 2006 @ 12:23 am

Line and paragraph breaks automatic, e-mail address never displayed, HTML allowed: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

拒绝服务攻击

2 Comments

小桥的记事本

Categories

Calendar

Meta

Feeds

Blogroll

Credits