过度 *** 流量导致 *** 瘫痪,这是什么恶性程序
过度 *** 流量导致 *** 瘫痪1.系统在早上9点的时候非常慢,单台服务器占用流量很大,使交换机流量被占满,而连累挂在同一交换机上的其他应用也无法提供服务,或者速度非常慢
2.通过查看进程发现大量的perl程序占用了大量的CPU,并且无法被kill掉
3.通过查看 *** 设备的监控,发现 *** 带宽在8点20分左右被OA服务器所在的交换端口占满,拔掉该OA服务器的网线, *** 恢复正常,重新插上系统瘫痪,可以断定问题出在该服务器上
4.重启系统后恢复正常

防火墙日志

流量走势

临时解决办法:
1.将OA系统挂载在单独的交换机上,并且对该交换机连接OA的端口限速,这样可以保证OA不会占用过多的带宽
2.安装安全狗服务器版,找到了部分asp的程序(没有对asp过滤,里面有一句话木马,系统是PHP的)
3.启用硬件防火墙的防DDOS功能

咨询多方专家后给出的解决方案如下:
1.针对系统做优化(这样可以抵御少量的攻击)
2.够买专业的防火墙设备
3.把系统迁移到云服务器上,用云来清洗流量
4.在系统发生故障时抓包,对包进行分析
# tcpdump -i em1 -w /tmp/em120160317
5.使用nethops进行流量定位,找到引发流量对应的程序
# yum -y install nethogs
Loaded plugins: fastestmirror, refresh-packagekit
Loading mirror speeds from cached hostfile
* base: centos.ustc.edu.cn
* extras:
* updates:
Setting up Install Process
No package nethogs available.
Error: Nothing to do

# yum install epel-release -y
# nethops em1
真实的解决 *** :
通过咨询其他同事,之前在北京的应用windows系统碰到类似的情况,是病毒引起的,杀毒后解决了问题,但当时可能被杀毒软件误删了操作系统文件,需要谨慎
后来搜索了下还真有linux下的杀毒软件
此次我们选择了nod32 linux x64版进行杀毒,查杀出了恶意木马,经过几天的观察发现没有再次出现服务器大量带宽被占用的情况,该问题暂时得到缓解
为什么选nod32,是因为之前在上一家公司任职的时候也碰到类似2003系统占用大量带宽使公司员工都上不了网的情况,用nod32杀掉蠕虫后解决问题
具体安装步骤,请参考前面的博文:
centos系统安装nod32杀毒软件并通过xmanager进行远程管理
安装需要输入用户名及注册码,输入后并升级到最新版本的病毒库
通过安装nod32 linux 64位版,升级病毒库以后,确实干掉了进程中出现的perl脚步,并且运行的用户也对上了,该事件暂告一段落

注意:
需要测试,不要直接在服务器运行,中间碰到了很多问题,测试的时候没有碰到类似问题(硬件不一样,测试环境是联想的PC,生产环境的服务器是dellr720,这个需要引起注意,下班后操作,并且需要做好备机,避免出现致命问题能及时恢复)
*** 流量攻击带来的危害
从以前 *** 流量攻击在闲鱼的发布数来看, *** 流量攻击造成的破坏远远不止服务瘫痪这么简单。
1.经济损失
电商、信贷、游戏行业等网站一旦网站被攻击,就会造成客户无法打开网站的情况,一旦客户打不开就会造成流量损失,流量损失会直接造成这些企业的经济损失,相关数据显示有很多的损失合同和运营终止都跟DDOS攻击有关,在一系列被攻击过的相关企业里,26%的企业都将DDOS攻击视为更大风险。
2.信誉损失
服务器宕机造成的业务系统崩溃会让企业的信誉扫地,糟糕的客户体验会让**户流失,企业声誉,品牌形象大受打击。
3.信息安全受到危害
在遭受 *** 流量攻击时企业安全人员都会将维护中心转移到防护流量攻击上,这时不法分子就有机会钻空子,窃取数据、感染病毒、恶意欺骗等犯罪活动将更容易得手。
那么如此危险的 *** 攻击,我们该如何防护呢?
(1) *** 层攻击防御
1.针对TCP类型,syn_fllod可利用协议规范,采用syn_cookie,syn_reset的认证方式。其他类型的tcp报文可通过tcp绘画机制过滤。
2.针对UDP类型的攻击,通常为反射攻击,将一些常被用于反射攻击的udp端口的保统统丢弃,通常可以防御大多数攻击。
(2)应用层攻击
通常可以针对特定IP进行限速,比如可以Nginx上配置,针对http采用js反射校验等机制。
网站被攻击流量超载瘫痪怎么办?
1、屏蔽攻击源ip地址,从源头上堵死流量来源
登录cpanel后台,找到”日志”“访客”
仔细分析下里面的访客IP,如果某一IP地址在短时间内有大量的数据,可以考虑屏蔽掉。通过”访客”这个目录进去,数据太多,并且都是网页版本的,分析起来比较麻烦。另外一个 *** 是点击”日志”“原始访问日志”,下载压缩包并解压,使用文本编辑器打开分析。
使用这种方式也有一定的缺陷。攻击者敢于攻击,肯定也想到了一定的规避措施。在分析ip地址的时候,我们不仅仅判断同一个ip地址,更要判断出同一类型的ip地址。ip地址分为三类型,A类,B类,C类。判断一个IP地址属于哪个类型,只需要看ip地址的之一个字节。A类IP的地址之一个字段范围是0~127,B类地址范围:128.0.0.1到191.255.255.254,C类地址的之一组数字为192~223。如果两个ip地址不同,但是属于同一类型的ip地址,并且 *** 号一样,那么也是我们要考虑过滤的ip地址。
这种方式也会有一定的误判,只在非常时期使用。现在很多人刷流量使用流量精灵等软件来刷,ip都是 *** 的,很难找到元凶。
2、向百度站长平台提交异常报告,附加上相关截图
3、使用百度加速乐或者360网站卫士
加速乐需要交纳费用才能使用,其中更便宜的超值套餐也需要6980元,中小站长伤不起的。360网站卫士是可以 *** 的,但是只是针对备案过的网站,没有备案的站长等着哭去吧。注册网站安全卫士后,开启360网站卫士的验证码防护。由于360是网站卫士是免费,这里有个简单教程工大家参考。360网站安全卫士注册教程
除了屏蔽ip地址和使用网站安全软件,似乎没有其他比较好的办法。站长只能注意平时保持低调,不要得罪人了。遇到这种情况,也不要太慌张。卸载掉网站上百度相关产品,继续保持每天的更新,围绕关键词跟认真的去写原创的文章,相信百度还是会收录的!只要老实做站的话,百度还是会给予应有的排名,收录和权重。为了防止接下来可能更加凶猛的攻击,也要做好网站备份工作,谁也保不准攻击者会不会像其他办法进一步加强攻击。
0条大神的评论