作者tonylo2ooo (Logo)
看板Linux
標題[問題] 請問這是不是DOS攻擊?
時間Mon May 16 22:13:50 2016
大家好
想請問一下以下症狀是不是DOS攻擊
1. 提供的服務每天下午五點開始就會爆炸
周末的話是下午三點開始爆炸
用nload看會發現100M的流量幾乎被占滿了,
用netstat看會發現來幾個IP的連線數量少部分有 5~6個 多的時候20個
來自西雅圖,但就算把那個ip給drop掉,流量還是被占滿
2. 用hinet pppoe 固定IP連線 以太網路線一插上去馬上飆到100M/s
用隨機IP就沒事
3. 初步防護
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 25565 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 8123 -m state --state NEW -m limit
--limit 1/second -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -L
請問有沒有什麼工具可以看到哪個IP的流量的
找了很久但是由於LINUX新手覺得有點痛苦
流量暴增的時候
nethogs也沒查到什麼奇怪的流量 都<1M/s
就只有用nload會發現RX 被占滿
4. 先把乙太網路拔了,插回去重新撥號
流量暴增時
用netstat看連線數 沒有可疑IP 都是本機連線
請問依照我的iptables還有什麼攻擊是危險的?
上來問的原因是
都找不到哪個IP OR 程式的流量很奇怪
覺得苦惱,做了很多功課,資質魯鈍
才上來請教 謝謝
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.165.113.84
※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1463408032.A.7A2.html
※ 編輯: tonylo2ooo (118.165.113.84), 05/16/2016 22:18:08
推 chang505: iftop 05/16 23:05
→ chang505: ntop 05/16 23:05
推 Debian: 開22 port?請問有開限定key登入嗎? 05/17 01:32
→ tonylo2ooo: 改port了,但22會被dos?還是來亂踹密碼也可攤瘓? 05/17 01:39
推 chang505: fail2ban 05/17 10:00
→ tonylo2ooo: 喔那個我有裝,我好奇的是我找不他怎塞100M/s的窗口, 05/17 12:47
→ tonylo2ooo: 難到單純知道ssh的port也行嗎? 05/17 12:49
→ wgst88w: 你固定IP是不是被當VPN跳板了? 05/17 19:04
推 JackBaska: 如果是樓上的情形,要注意有沒有localhost大於10000的 05/17 19:50
→ JackBaska: port listen 05/17 19:50
推 Debian: 有時候不見得是dos,沒限定key pass被暴力破解植入後門後 05/18 01:26
→ Debian: 後門程式造成吃頻寬也是有可能發生的事情。 05/18 01:26
推 asdfghjklasd: 架私服? 05/18 09:57
是阿 開minecraft server
http://mcfallout.net
要去哪裡檢查後門程式阿, htop觀察嗎
之前好像有覺得怪的程式 每個拿去google好像都正常
一般來說後門會用root執行對吧? 有沒有類似的教戰守策推薦閱讀的
謝謝
server方面
換了IP跟port,跟登入用的帳密目前正常了
打算改換key登入
※ 編輯: tonylo2ooo (118.165.6.98), 05/18/2016 22:56:22
推 chang505: 後門會用奇怪的使用者執行正常的程式 05/18 23:02
→ chang505: 那就是執行偽裝起來的 process 了 05/18 23:02
謝謝大家的指教,問題似乎解決了!
※ 編輯: tonylo2ooo (118.165.6.98), 05/19/2016 09:24:46