我今天遇到了一个大问题。我的网站非常慢。我尝试了所有方法,但都无济于事。我禁用了 mysql,但我的网站加载静态页面仍然很慢。我还重新启动了服务器。我还禁用了 apache,并尝试使用 yum 更新某些内容,还测试了 lynx -dump test.com,但转储需要很长时间。
执行此命令后
netstat -an |grep ESTABLISHED
我有很多这样的联系
udp 0 0 here.my.ip.number:52644 ip.109.188.1:53 已建立
udp 0 0 here.my.ip.number:52782 ip.109.188.1:53 已建立
udp 0 0 here.my.ip.number:53573 ip.109.188.1:53 已建立
我认为这个 IP 是一个攻击者,我尝试使用 iptables 进行阻止
/sbin/iptables -I 输入 -s ip.109.188.1 -j DROP
但是当我使用 netstat 时仍然看到它。
每次我重新启动 apache 进程时,它都会很快填满,但内存没问题,我仍然有 2gb 可用,但大约有 200 个休眠进程。
请大家帮帮我,我的网站已经宕机几个小时了,这让我抓狂,我的主机 Godaddy 也帮不了我。他们说是我的数据库出了问题。我使用的是 VPS 和 centos 5。
答案1
这不是 DDoS 攻击(可能)。相反,您的服务器只是发出了过多的出站 DNS 查询。
如果您尝试使用慢速解析器来查询大量名称,则这些问题会累积起来,但根本原因可能是您正在运行对大量流量执行 rDNS 查询的服务。
这些查询的具体原因取决于您的服务器的用途,但常见原因是 SMTP 服务器(检查 rDNS 以查看它是否与显示的主机名匹配或看起来是动态的,以进行垃圾邮件过滤)和 IRC 守护程序(以确定主机掩码)。Apache 也可能导致这些查询(使用HostnameLookups Off注释中提到的指令将其禁用)。
根据 DNS 查询的内容,它还可能表明您的主机上存在查询 DNS 的恶意软件,尽管这是最不可能的原因之一。
要确定负责打开这些连接的进程,请-p向 netstat 添加选项,并观察哪个进程与出站端口为 UDP/53 的连接相关联。