有一名黑客对我们很生气,并对我们发起了 DDOS 攻击。我认为他是一个脚本小子,使用 DarkComet 之类的工具;攻击可能很简单。
我在 PC 上托管了一个服务器。该服务器位于我的公共 IP 上。我正在使用路由器。该服务器确实有一个端口转发供人们连接。有一个代理和其他东西,但我不知道如何设置它
该服务器很受欢迎,我不想关闭它。
有什么办法可以阻止这次攻击,甚至只是延迟它吗?
答案1
处理 DDoS 的最佳方式是尽可能远离您的连接;您要尽可能靠近源头来切断此类攻击。
首先,找出正在使用的 IP 地址,查询其身份,并与远端的 ISP 联系。如果他们在国外或遍布世界各地,他们可能无法提供帮助,但如果是偏远地区,您可能会很幸运。
如果这无济于事,您可以要求您的 ISP 为一系列 IP 提供黑洞。大多数消费级帐户都没有此选项,但询问一下也无妨。当然,除非您运行服务器违反了该提供商的 TOU(使用条款)。您承认以他们不喜欢的方式使用他们的连接。他们可能会决定关闭您的服务。
如果您拥有动态 IP 地址,您可以尝试拔出调制解调器/路由器(与 ISP 连接的,而不是任何内置的)的电池和电源线,让它静置几分钟。希望您能使用新的 IP 地址进行更新,然后只需更新 DNS 即可。DDoS 需要一段时间才能意识到您已经移动,尽管您的合法客户也会遇到同样的问题。它会在几分钟/几小时内自行解决,但最终您可能会得到更好的结果。
如果您无法获得 ISP 支持或更改 IP 地址,则需要防火墙。如果可以,请到当地商店购买一个不错的硬件防火墙。该防火墙具有针对流量类型/IP 地址/等的丢弃规则。虽然价格不菲,但您可以配置防火墙以丢弃所有可疑流量。这样做的好处是,大多数连接的上行上限比下行上限小得多,因此通过丢弃数据包,您可以节省上行带宽(流向访问者),用于实际的页面访问,而不是 ping、nak、404 和其他可能发生的情况。
您可以尝试使用软件防火墙,但必须是一款性能良好的防火墙。Windows 防火墙在这里根本行不通。您需要类似 Linux 的防火墙,您可以在其中配置轰炸您的 IP 的丢弃规则。您仍将使用大量网络下行带宽,但您的服务器将能够喘口气,而其他系统将承受压力。
您也可以在服务器上设置另一个虚拟服务器,使用单个文件将默认端口 80 或 443 重定向 (302) 到非标准端口,然后在那里设置您的服务。普通浏览器将在下次加载页面时轻松重定向到新服务,而机器人可能会继续在默认端口上攻击。简单的 HTTP 重定向比全面的页面加载占用的带宽少得多,因此可能会减轻攻击的影响。这实际上取决于 DDoS 攻击脚本的智能程度。它们可能只是无害地弹出 302,这意味着它们必须大规模扩大攻击规模。
最后,如果其他所有方法都失败了,只需关闭服务器 10 分钟,看看会发生什么。DDoS 脚本可能会感到无聊并走开(不太可能,但值得一试)。顺便说一句,如果您在消费级连接上托管自己的服务器,那么是时候升级了。消费级软件包不适合托管,因为它们的上游非常小(相对而言),并且几乎没有或根本不支持 DDoS、DNS、邮件服务器和其他常见问题。
答案2
15 个 IP 地址是一个相对较小的数字。您可以使用防火墙软件或硬件来阻止这些地址。如果他正在使用 VPN 或代理服务器服务,使其源 IP 看起来像是来自比利时实体的地址空间,并且您不希望任何合法流量来自那里,那么您可以阻止分配给该实体的整个地址范围至少一段时间。始终存在阻止一些合法流量的风险,但这种风险可能比让其他合法用户访问您的服务器的需求更重要。
例如,假设我看到 218.65.30.38 是一个攻击 IP 地址,实际上我曾看到有人试图通过猜测密码来入侵我自己的服务器之一。我可以先去美国互联网号码注册中心 (ARIN)网站http://arin.net。在“搜索 whois”字段中,我输入了 218.65.30.38,这将显示地址范围 218.0.0.0 - 218.255.255.255 是由另一个区域互联网注册局 (RIR),在这种情况下,RIR 是亚太网络信息中心(APNIC),即为该地区分配 IP 地址块的组织。因此,我可以访问 APNIC 网站http://www.apnic.net并在“Whois 搜索”字段中输入 218.65.30.38。这告诉我 218.64.0.0 - 218.65.127.255 块已分配给中国电信。如果我预计没有任何合法流量来自中国,我可以阻止整个地址范围 218.64.0.0 - 218.65.127.255,因此如果攻击者来自 218.65.127.58,而不是 218.65.30.38,他仍然会被阻止。根据他使用的 VPN 服务提供商或代理服务器服务,该技术可能不适用于您,但如果你知道,例如,您的所有合法流量都来自加拿大,您可以考虑使用这种方法。即使这样,它也可能变得像一个打地鼠游戏时间取决于代理/VPN 服务提供商的网络有多全球化,如果攻击者可以切换到由另一个国家的提供商运营的 VPN 或代理服务器,并很快意识到,如果他们使用某个国家/地区的服务器,他们就会被阻止,但如果他们脚本小子他们可能没有意识到这一点。
或者,如果您正在运营一个网站,但 DDOS 流量是其他类型的流量,即不是到端口 80 或 443 的 HTTP/HTTPS 流量,那么您可能能够在您管理的防火墙上阻止到达服务器之前的该流量,如果显然没有合法需要任何外部系统通过端口或使用攻击者正在使用的协议与您的服务器进行通信。
我还建议查找哪些组织/公司被分配了攻击者使用的 IP 地址;您可以使用我上面提到的技术,或者直接访问提供 whois 服务的网站。例如,您可以使用Whois 查询。您在此处找到的联系信息可能无法识别 VPN 或代理服务器服务提供商,因为由 RIR 分配地址空间的组织可能已将较小的地址空间块分配给其他人,例如提供 VPN 或代理服务器服务的公司,但您可以尝试联系该组织并通知他们此问题。如果您可以识别代理服务器/VPN 提供商并可以从他们的网站上找到联系信息,合法提供商应该反对任何使用其服务进行此类攻击的客户。许多提供商会在其服务条款中声明,使用他们的服务进行此类恶意活动违反了其服务条款,犯罪者将立即终止其帐户并损失其已为该服务花费的任何资金。
如果他使用暗彗星RAT 可以控制个人用户的 PC,通过 whois 搜索查找 IP 地址应该可以找到 ISP。联系 ISP 可能会导致 ISP 阻止受感染系统的所有网络访问,并且希望用户能够了解到其他人可以远程控制他或她的系统并采取措施对系统进行消毒。