我有一个非 Xen VPS(不太清楚该软件是什么)。
过去一周,我们的一台(或多台)主机遭受了数次 DDOS 攻击,由于使用了超过平常的带宽,整个服务器也因此被暂停。
我使用 DIrectAdmin。
是否有一种自动化工具可以检测 DDOS 攻击并在发生特殊数量的攻击时暂停主机?
我不需要一个除了监控之外的工具(我已经找到了用于此目的的 MRTG,并将在服务器恢复后立即安装它)
请给我建议最佳解决方案。
答案1
您要做的第一件事就是收集有关攻击的正确信息,无论是 DDOS 攻击还是其他攻击。虽然您可能是这次攻击的目标,但您自己的系统也有可能就是这些攻击的源头 - 尤其是如果您正在运行任何大规模分发的 CMS 系统。(您确实说过您使用 DirectAdmin...)
你可以用下面的方法记录大约一天的流量:
tcpdump -w file -G 60 -W 1440 -s0 -p -C 5
这应该会告诉你是否需要编写自己的自动切腹脚本。可以理解的是,由于这是一个相当绝望的措施,你找不到这样的脚本。
如果您是 DDOS 的源头,那么,您就不能指望您的主机给予太多的同情 - 找出您的系统上正在运行的程序并将其终止。
如果您是 DDOS 攻击的目标,那么您可能能够以适当的方式做出响应(或不响应),从而阻止流量流动。如果您已经不响应,那么您唯一能做的就是躲在自己的壳里……如果您认为对手会在 10 分钟内消失,您可以尝试这样做:
screen # don't stay dead on shell hang-up
/etc/init.d/networking stop; sleep 600 ; /etc/init.d/networking start
如果您有多个 IP 地址,那么只需删除目标 IP 地址就可以了。
您的提供商可能能够采取措施来追踪攻击的来源,但不要太担心。