今天一台服务器被攻击了,以前从来没有遇到过这样的攻击。它的特性是:发的包很大,但是流量不大。
12:10:09 IFACE rxpck/s txpck/s rxbyt/s txbyt/s rxcmp/s txcmp/s rxmcst/s
12:20:01 lo 13.70 13.70 18807.10 18807.10 0.00 0.00 0.00
12:20:01 eth0 97448.73 61167.02 6254499.05 3936790.25 0.00 0.00 0.07
12:20:01 eth1 63.03 20.93 14991.72 3078.22 0.00 0.00 0.12
包数量有 97448 之多,而流量才50M多点。抓包的时候,有大量的tcp三次握手的包,而且源IP相当的多。
使用iptables 不管用,所以这些源IP很有可能是伪装的IP。
调整了内核参数。 参考 http://www.aminglinux.com/bbs/thread-274-1-1.html
但是依然不管用。到最后,竟然远程连不上机器。在机房接上显示器查看,有报错
kernel panic-not syncing:out of memry and no killable processes
也进不去系统。最后,只能拔掉外网网线,机器马上可以登录了。
系统恢复正常后,通过sar查看当时的负载,居然有300之高。而内存使用还算正常。
针对这样的攻击,只能使用硬件防火墙。
12:10:09 IFACE rxpck/s txpck/s rxbyt/s txbyt/s rxcmp/s txcmp/s rxmcst/s
12:20:01 lo 13.70 13.70 18807.10 18807.10 0.00 0.00 0.00
12:20:01 eth0 97448.73 61167.02 6254499.05 3936790.25 0.00 0.00 0.07
12:20:01 eth1 63.03 20.93 14991.72 3078.22 0.00 0.00 0.12
包数量有 97448 之多,而流量才50M多点。抓包的时候,有大量的tcp三次握手的包,而且源IP相当的多。
使用iptables 不管用,所以这些源IP很有可能是伪装的IP。
调整了内核参数。 参考 http://www.aminglinux.com/bbs/thread-274-1-1.html
但是依然不管用。到最后,竟然远程连不上机器。在机房接上显示器查看,有报错
kernel panic-not syncing:out of memry and no killable processes
也进不去系统。最后,只能拔掉外网网线,机器马上可以登录了。
系统恢复正常后,通过sar查看当时的负载,居然有300之高。而内存使用还算正常。
针对这样的攻击,只能使用硬件防火墙。
编辑回复