linux服务器被DDOS攻击

夕夜如风

我的服务器是 Quick Linux AS3
昨天上午IP被攻击
现象为一插上外网网线，机器就慢得不得了
拔掉外网网线，或外网改IP后，恢复正常。

我在Windows 上装上天网，查看记录如下：
看来他是用伪装的本地IP攻击我的27015 CS服务器端口，
但我把27015端口、CS服务器关了也没有作用，因为LINUX系统启动时，
由于DDOS连接太多，开机时连接 eth1 （外网网卡）就会定住不动，拔掉外网网线后才能正常开机，但一接上，机子就会慢得动不了。

请问有什么方法可以防止？他又是怎么做到的？

[15:10:45] 10.168.25.56试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.25.57试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.6.34试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.6.30试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.6.35试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.6.31试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.228试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.229试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.230试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.231试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.232试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.233试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.234试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.235试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.238试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.242试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.239试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.243试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.246试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.247试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.248试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.249试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.250试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.251试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.252试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.2.128试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.7.253试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.2.129试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.2.130试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.2.131试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.2.132试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.2.133试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.2.134试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.2.135试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.8.4试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.8.5试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.8.0试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.8.1试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.2.138试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.2.139试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.8.8试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.2.140试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

[15:10:45] 10.168.8.9试图连接本机的27015端口，
TCP标志：S，
该操作被拒绝。

dancingpig

作孽，没办法ddos

zhf6440

这样的攻击真的没办法了吗?

希望高手能出来解决一下~~~~

sypdz

这有什么办法？TCPIP的设计缺陷...
看来是syn-flood,打开syn-cookie看看...不过也没什么用就是...可能有一点点效果...


#echo "1" > /proc/sys/net/ipv4/tcp_syncookies

把tcp的retry时间设置短一些,一切与tcp建立连接相关的参数稍微优化一下吧...

我的解决办法是打开syncookie，做些优化，然后再在ip_conntrack里找出UNREPLIED的连接过多的ip，

用iptables drop掉...

当然，只是缓解的作用...

不过先说好，这也是杯水车薪...只是可以试一下，

julydays

你可以写一个iptables脚本，在不用cs服务器的时候把27015的端口屏蔽掉！在每次启动的时候运行该脚本，或者用crond。(可以在/etc/rc.d/rc.local里面增加脚本)但在你进行服务的时候，这就有点难度。

你也可以抓个攻击包来看看，有没有留下攻击者的mac地址，如果不同的ip地址但有相同mac地址的话，用iptables把该mac地址发送的所有包drop掉就可以了。

我猜想攻击者是自己写个程序来生成随机的ip源地址，统一的ip目的地址和端口号的tcp包来进行dos攻击。如果他没把mac地址也随机生成的话，那上述方法就应该可用。

sypdz

ip包里有mac地址？
狂昏...
过了路由，上了三层以后哪里还抓的到mac地址？
解决办法，换个端口就可以了...
就看client是否也换端口...

dancingpig

Post by sypdz
ip包里有mac地址？
狂昏...
过了路由，上了三层以后哪里还抓的到mac地址？
解决办法，换个端口就可以了...
就看client是否也换端口...

4242.....mac是iso/osi的第2层，tcp里叫数据连路层。。。。那东西只有在物理网络有效。。。
ddos的确也只有听天有名
你能做的是祈祷你的机器比攻击者的nb，带宽比他nb
这没有正确之分，只有幸运

sypdz

明显只是DoS而已，不是DDoS,规模小的话，打开syn-cookie还是很有效果的...
楼主先试一下吧....
不过如果带宽不够用，系统扛不住的话就没办法了...
服务器够好，增大 backlog(如果不打开syn-cookie的话)...
有空多交流...

konds

阿 . 卡掉该端口是不错的选择. 省事.又省资源

夕夜如风

换IP地址，或者换端口，当然都是很简单的解决办法。
但我们的IP上有主页，有CS服务器，有电影的流媒体服务器，如果经常这样换来换去，光改域名设置都累死

之前我觉得我们的线路换成了100M光纤，路由也换成了LINUX，按道理一般比较少人能DOS我了（即使有，也应该对我影响不大）

但经过这次一搞，我觉得自己真是毫无办法。