我的服务器正在遭受攻击,这似乎是一次 syn 洪水攻击,而且他正在欺骗 IP。
sudo netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
返回此。
...
4 94.144.63.102
5 91.100.45.134
6 62.199.203.97
7 5.175.207.98
7 77.68.246.5
121 87.60.164.123
1920 127.0.0.1
2428 77.66.108.158
现在,我已经尝试了一切,但似乎无法阻止它,它似乎来自数据中心。
我尝试过单独封禁 IP,但毫无用处,一直封禁。我安装了 fail2ban 和 mod_security,尝试了很多配置,但都失败了。如果我能将每个 IP 的数量降低到 30 个左右,但我有 200 个 IP,每个 IP 有 30 个请求。
现在,我在 cloud flare 上注册了,并移动了我的 DNS,但我对此感到疑惑。
我的网站可以通过其 IP 访问,现在,我知道 cloudflare 只是通过其 DNS 路由流量,但他不能直接淹没我的服务器 IP 吗?我可以拒绝 Apache 中的所有直接 IP 流量吗?或者我应该怎么做才能阻止这种攻击?
我是一名软件开发人员,而不是服务器管理员。
我在亚马逊 EC2 实例上运行 Debian Jessie,并使用 Apache2 来处理请求。
编辑 我 100% 确定这是一次 DDOS,是一次 SYN 洪水攻击,我检查了一下,发现有大量连接在 SYN 上等待。我将服务器移到 cloudflare 后面并更改了 IP,成功了。**
答案1
您可以将 cloudflare 设置为代理 http 连接,这样您就不会出现在 DNS 条目中。如果攻击者已经拥有您的 IP 地址,这将对您没有帮助。我建议您启用 cloudflare 的代理,然后更改您的 IP 地址。
答案2
您可以使用 iptables 将 IP 列入黑名单(或将 cloudflare 列入白名单(如果它们代理您的 Web 服务),但这不会阻止 SYN 数据包进入;这仅意味着它们不会出现在 中netstat。此外,可能需要比您想要的更多的服务器管理员。
答案3
**我 100% 确定这是一次 DDOS,这是一次 SYN 洪水攻击,我检查了一下,发现有大量连接在 SYN 上等待。我将服务器移到 cloudflare 后面并更改了 IP,成功了。****