这是一个已知DDoS攻击。该案例涉及 Windows Server 2008 企业版。
在攻击高峰下,服务器的 CPU 使用率达到 60%,50% 的内存仍然可用,一半的网卡已被利用,因此理论上服务器仍然有足够的资源来处理新的请求,但实际上却不能(新的合法请求的请求超时错误)
我的问题:
- 由于源 IP 地址无效,是否有办法找到攻击者的 IP 地址?
Request Time-out在资源还足够的情况下如何预防?- 针对此类攻击最知名的防御措施是什么(硬件防火墙除外)?
答案1
任何优秀的黑客都会伪造来源,并使用几台不同的机器,这些机器可能只是由于自身安全性受到威胁而受他控制。除非你自己拥有高超的黑客技术,否则反向追踪 IP 地址几乎总是徒劳无功。
我自己没有解决方案,但大多数软件防火墙应该允许丢弃特定类型的连接或连接尝试的规则。由于这仍然是软件在处理这个问题,检查传入的数据包并将它们与规则进行匹配,因此这不会完全减轻服务器的负载。
这让我想到了最后一点:为什么在这个设置中你不使用硬件防火墙?如果这是一台接触公共互联网的服务器,它需要一个单独的防火墙设备。就这样。
更新其他可能性:根据您与 ISP 达成的协议类型,他们可能愿意和/或有能力(收取一定费用)为您执行数据包检查/流量整形和防火墙任务。他们的系统可能非常有能力做到这一点。问题是您永远看不到合法数据包是否被丢弃。这很像垃圾邮件。最好的 DDoS 攻击是那些看起来最像合法流量的攻击。如果您开始因为无法直接控制的过于激进的防火墙规则(即 ISP 上的规则)而失去客户或联系人,这可能会比 DDoS 更糟糕。
如果您确实不能使用硬件防火墙,您至少应该给他们打个电话。
答案2
抱歉,软件不是解决办法。你需要硬件——但硬件可能还不够。最近,我是一家大型互联网零售商的网站管理员。我们遭受了拒绝服务攻击,尽管我们有硬件,但仍不足以阻止洪流。我们的问题是它填满了我们的带宽管道。即使你能从好流量中分出坏流量,很多时候你的带宽才是瓶颈。
此外,music2myear 所说的完全正确,如果它确实是一台 Windows 机器,那就更加正确了。
答案3
在 Linux 上,您要查找的工具是 SYN cookies。在 Windows 中,它看起来像 SynAttackProtect (http://www.symantec.com/connect/articles/hardening-tcpip-stack-syn-attacks有关详细信息)。Windows 等效版本似乎与 SYN cookies 有很多相似之处,并且该功能自 Win2k 以来就已可用。2k8 中的选项可能有所不同,但至少这是一个起点。