我的服务器受到攻击!
当我使用netstat -anp | grep :80时
我得到以下列表:
tcp 0 0 162.167.98.11:80 5.189.156.224:58211 SYN_RECV -
tcp 0 0 162.167.98.11:80 5.189.156.224:39608 SYN_RECV -
tcp 0 0 162.167.98.11:80 5.189.156.224:33261 SYN_RECV -
tcp 0 0 162.167.98.11:80 5.189.156.224:56951 SYN_RECV -
这样有几十行。
请帮助我理解此列表,以及如何保护服务器免受这个提出大量请求的IP的影响。我正在使用针对DDOS攻击配置的fail2ban,但看起来我错过了什么。
服务器是运行Ubuntu 12.04的虚拟机
答案 0 :(得分:1)
Fail2ban只会对产生某种错误的客户做出反应。
这可能是Slowloris攻击造成的。它的工作原理是打开一个连接并尝试通过不断向请求中添加内容来尽可能地保持打开状态。然后打开其他这样的连接并保持打开状态。
因此,可能的解决方案是限制每个客户端的开放连接。
这可以通过iptables直接完成here或使用适当的apache模块(如果这是你的网络服务器)。
明确设计用于此目的的是mod_antiloris,另一个更易配置的是mod_qos。
答案 1 :(得分:0)
最后,我设法通过本教程中的服务器安全性来阻止攻击:https://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-part-1-basics#comment-1091