洛阳铲的日志

2008年10月26日

simple response to the DDOS attacks

Filed under: 生活小札 — HackGou @ 07:57

周六中午还在家里休息的时候,收到报警,一个韩国的站点web服务没有响应, 检查之后,发现有很多针对search页面的http请求,所谓的很多,从分析看来 高到四五百的IP,这些IP中多则3千多个、少的也有十几个http请求发过来。 这就是传说中的DDOS ,用搬家比方一下: 如同四五百个人一起让你来来回回的让你去六楼给他们同时搬上千样最重的东西。 六楼是没有电梯的最高层了,得要走的,要的东西还是最重的,而且每个人还同时要很多份。 而且一起要的人还有很多个人,只有《The Metrix》中会分身的史密斯才可以应付得来。 可惜我们的httpd不是史密斯。 虽然这个站点不在主盈利站点之列,但是这已经不是第一次碰到这种情况了。 上次发生类似情况的时候,通过识别、然后简单的通过httpd的403给处理掉。 没想到这次来时更加凶猛,httpd已经应付不过来了,只能在tcp里面handle了。 非常高兴这个站点没有通过load balance作负载均衡,要不然还得考虑对其他站点 的影响,而是直接从pix过来的。那就block吧,三下五除二,把那些可疑的IP 都drop掉之后,世界又恢复太平了。发notify,收工。 事后想想,这会是谁干的? 首先:可以支配数百台傀儡机器,不是一般的小玩家 其次:这次的http 请求和前几次有着相同的痕迹,可以理解为同一个或者同一伙人 实施的更加凶猛的一次攻击、而且这也不是最后一次,那下一次会是什么情况呢? SQL injection?SYNC Flood?

没有评论 »

No comments yet.

RSS feed for comments on this post. TrackBack URL

Leave a comment

Powered by WordPress