V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
lsylsy2
V2EX  ›  Linux

有软件层面扛 dos 的方案么?

  •  
  •   lsylsy2 · 2015-01-20 01:49:43 +08:00 via Android · 4197 次点击
    这是一个创建于 3587 天前的主题,其中的信息可能已经有所发展或是发生改变。
    RT,流量没满,CPU被占满挂了,抓包分析似乎是TCP PSH+ACK攻击。简单的fail2ban好像不能处理这个,有其他现成方案么?(能自动化的,被攻击死机了没法手动操作)
    18 条回复    2015-02-06 13:45:08 +08:00
    oojiayu
        1
    oojiayu  
       2015-01-20 03:17:00 +08:00
    你说的应该是DDOS 不是DOS ~
    DDOS 以及CC的攻击 都是需要硬件防护的~
    如果你的服务器是独立主机,那么你要判定攻击者是攻击的你的网站还是服务器~
    如果是网站,你可以选择使用安全狗服务~ 或者CDN~
    如果是独立服务器被攻击,那么你可以选择更换IP地址~
    不过貌似你的情况比较严重~
    问问谷歌看看吧~
    twl007
        2
    twl007  
       2015-01-20 03:43:09 +08:00 via Android
    mod-security 开源的一个WAF模块 不过实际部署的话规则调整会比较麻烦 目前官网给出收费及免费两种规则库 依据个人需要选吧
    bobopu
        3
    bobopu  
       2015-01-20 07:51:57 +08:00 via iPhone
    流量没满cpu满了,这是cc啊,换ip后上cdn
    youyoumarco
        4
    youyoumarco  
       2015-01-20 08:35:54 +08:00
    换CDN,很早以前找过运营商协助解决,现在呵呵了
    vwhenx2
        6
    vwhenx2  
       2015-01-20 10:25:25 +08:00
    没有,说完了
    thinkxen
        7
    thinkxen  
       2015-01-20 10:27:15 +08:00 via Android
    试试csf这个软件防火墙吧
    ryd994
        8
    ryd994  
       2015-01-20 10:41:37 +08:00 via Android
    iptables 限制并发,限制syn频率,限制psh频率,如果过高就加conntrak或者写log,ban ip
    应用里限制请求频率
    再不行就上cdn,但是cdn遇到大规模顶不住也会回源
    Jarett
        9
    Jarett  
       2015-01-20 10:46:44 +08:00
    如果本身就是动态的接口被刷了,用CDN是没有用的,因为动态内容CDN还是要回源获取的,比如各种查询搜索等。建议找找对方刷的是哪个接口,如果自己找不出,或者用网站卫士安全宝之类的看看能否分析出来,比流量攻击好处理。
    ryd994
        10
    ryd994  
       2015-01-20 10:46:47 +08:00 via Android
    @xoxo 这为什么防CC?
    @twl007 你这是应用层的,根本不是一回事
    xoxo
        11
    xoxo  
       2015-01-20 10:52:11 +08:00
    @ryd994
    用了几个模块, 顺便改了下NGINX一些底层, 实现了这个功能
    ryd994
        12
    ryd994  
       2015-01-20 10:53:04 +08:00 via Android
    @Jarett 有用,因为这是针对TCP协议的攻击,cdn对动态内容相当于反代,足够了。
    ryd994
        13
    ryd994  
       2015-01-20 11:30:34 +08:00 via Android
    @xoxo 这是针对TCP协议的攻击,nginx模块有什么用,內核模块还可以说说
    xoxo
        14
    xoxo  
       2015-01-20 11:37:13 +08:00
    @ryd994 那就只能硬防了
    tanywei
        15
    tanywei  
       2015-01-20 23:00:49 +08:00
    上CDN永远是最省事的。
    gamexg
        16
    gamexg  
       2015-01-21 09:09:28 +08:00
    TCP PSH+ACK 的话上CDN完全可以防的.
    Jarett
        17
    Jarett  
       2015-01-21 14:33:56 +08:00
    @ryd994 哦,之前以为楼主是被cc,我说的是cc。
    k88k88k88k88sx
        18
    k88k88k88k88sx  
       2015-02-06 13:45:08 +08:00
    @xoxo 能否请教一下是你是用了哪些模块实现的?大概指点下我自己研究研究~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1060 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 22:26 · PVG 06:26 · LAX 14:26 · JFK 17:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.