首页 » 攻击及防御 » 正文

判断攻击类型

操作1:判断攻击类型
a)命令: netstat -an|grep SYN|wc -l 看检查到的包多不多,一般我们服务器只有20以下,超过200,基本可以确认是DDOS攻击
b)命令: netstat -n | awk ‘/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}’ 看 ESTABLISHED ,非常大是DDOS,数值大概在1万以上,正常值在2000左右或以下
c)查看nginx日志,检查是否大量请求某个页面,日志增长数量迅速,若确认,则为CC

给大家口水下我说知道的ddos攻击来源渠道.
1、入侵类,入侵网站获得webshell,利用服务器发起 应用型cc攻击,流量型udp攻击. 典型代表 phpddos, 拿到服务器权限能干的事情很多,带宽又大.
2、抓普通用户肉鸡型, gh0st类反弹木马,反弹木马功能比较多,集成ddos也是标准配置,利用海量客户端打出来的流量也惊人.360这类的也是干了好事给中国网民打了不少的补丁,否则挂马会严重的多.
3、流量渠道直接购买,可以在国外论坛直接找到流量压测平台,提供多种攻击方式,混合攻击方式.而且价格非常便宜,打出几个g的带宽轻轻松松,支持比特币支付.
4、直接利用国外多家云主机发起攻击,购买多家的云机器.随便简单用py,php什么的写个udp发包应用,用运维工具批量执行.这些机器基本是G口的打出的流量也是很吓人. 你要问我很快机器会被封,没关系都是一次性买卖,帐号封了就封了. 总结:个人觉得吧cc比较考技巧,讲绕过防御,打到应用层冒烟.tcp syn flood吧占着茅坑不拉屎, udp流量吧直接粗暴,直接把你带宽城门堵得死死的,我管你要不要这些数据,反正我发你了,udp也是大杀器,唯有带宽抗.
硬件: 梭子鱼类这样硬waf 软件类waf: 业界流行 nginx+lua, 代表 modsecuity. 个人觉得,不要指望waf给你做 sql xss 攻击,程序自身的安全才是最重要的. 硬的waf吧在 带宽能承受的情况松下防御 cc攻击 tcp syn flood 还成 这些东西在超大带宽的 udp攻击面前都是浮云. 的借助运营商和专业ddos防护公司来做. 利用他们的高防线路做流量清洗. 再反向代理给源站ip. 国内做云服务器的,阿里云的免费5g ddos防御真的是良心, 云盾也退出付费服务了,价格我看和业界比起来也是良心.
ddos防护我用过的提供商. 云盾,安全宝 青松没用过但是推荐,认识他们的运维人员 . 自己能防御的太有限了,被ddos了,基本就是竞争对手做的. 我们怎么才能解决呢?
1、从””政治””上和攻击你的人做洽谈. 但是不是让你服软,服软就更悲剧了. 放放狠话,不能怕 “”黑社会””
2、技术上,寻找靠谱的ddos防御提供商. 进行流量清洗. 由于目前高防成本考虑不能去做bgp,基本都是单线. 所以可能对网站打开速度有影响. 但是也没办法. 以前暴露过的源ip当然的换掉. 提供商清洗后干净的流量 反向代理到 自己的新的源ip上. 检查所以域名泛解析,避免暴露源ip
3、如果知道是谁攻击你的. 找到对手的网站的源ip,查清楚所在机房. 把机器放到一个机房去. 让他打 打个几十G 上百G把机房高挂了,也会影响他自己.