当前位置: 技术问答>linux和unix
系统被SYN_RECV攻击,不求解决方法,只求找到原因
来源: 互联网 发布时间:2017-04-17
本文导语: 今天晚上,第三方监控网站发来邮件提醒,说服务器无法连接,立即ssh上去,卡得要死。 netstat一看,基本上很多如下: tcp 0 0 1.2.3.4:80 61.130.51.186:63121 SYN_RECV - ...
今天晚上,第三方监控网站发来邮件提醒,说服务器无法连接,立即ssh上去,卡得要死。
netstat一看,基本上很多如下:
tcp 0 0 1.2.3.4:80 61.130.51.186:63121 SYN_RECV -
tcp 0 0 1.2.3.4:80 218.25.197.162:27626 SYN_RECV -
tcp 0 0 1.2.3.4:80 222.78.251.82:2186 SYN_RECV -
tcp 0 0 1.2.3.4:80 60.190.0.30:2174 SYN_RECV -
tcp 0 0 1.2.3.4:80 118.254.9.13:1629 SYN_RECV -
tcp 0 0 1.2.3.4:80 218.90.220.174:2289 SYN_RECV -
tcp 0 0 1.2.3.4:80 121.13.225.58:1089 SYN_RECV -
tcp 0 0 1.2.3.4:80 59.56.178.213:4218 SYN_RECV -
tcp 0 0 1.2.3.4:80 112.112.4.66:2116 SYN_RECV -
tcp 0 0 1.2.3.4:80 113.108.184.202:3301 SYN_RECV -
tcp 0 0 1.2.3.4:80 113.108.109.28:4941 SYN_RECV -
tcp 0 0 1.2.3.4:80 220.179.92.143:11717 SYN_RECV -
一看就知道是被攻击了
我现在也不求解决方法,只求找到被攻击的原因。
因为这台机器上面安装了apache,只放了一个网站的源码,没有绑定任何域名,但是我将很多域名指向了这台服务器的ip,所以只要是解析过来的域名,都可以用域名直接打开网站。
这样说可能有人不明白,例如我这台服务器的IP是:1.2.3.4
我将aaa.com解析到1.2.3.4
我将bbb.com解析到1.2.3.4
但是apache虽然没有绑定这两个域名,但是因为解析过来了,可以用域名直接访问网站。因为我这个站,可以直接用独立ip访问,所以可以这样操作的。
现在被攻击的原因应该是其中某个站被人盯上了,但是我不知道具体是哪个站,有什么办法可以查出来吗?
apache的日志文件只能查看访问的ip,无法知道是通过哪个解析域名过来的
而且apache的日志都这样了:
112.98.98.113 - - [31/May/2011:17:28:24 +0400] "xc1xc1xc1xc1xc1xc1xc1xc1xc1xc1xc1xc1" 414 250
58.214.244.202 - - [31/May/2011:17:28:39 +0400] "\\\\\\\\\\\\\\\\\\\\\\\" 414 250
netstat一看,基本上很多如下:
tcp 0 0 1.2.3.4:80 61.130.51.186:63121 SYN_RECV -
tcp 0 0 1.2.3.4:80 218.25.197.162:27626 SYN_RECV -
tcp 0 0 1.2.3.4:80 222.78.251.82:2186 SYN_RECV -
tcp 0 0 1.2.3.4:80 60.190.0.30:2174 SYN_RECV -
tcp 0 0 1.2.3.4:80 118.254.9.13:1629 SYN_RECV -
tcp 0 0 1.2.3.4:80 218.90.220.174:2289 SYN_RECV -
tcp 0 0 1.2.3.4:80 121.13.225.58:1089 SYN_RECV -
tcp 0 0 1.2.3.4:80 59.56.178.213:4218 SYN_RECV -
tcp 0 0 1.2.3.4:80 112.112.4.66:2116 SYN_RECV -
tcp 0 0 1.2.3.4:80 113.108.184.202:3301 SYN_RECV -
tcp 0 0 1.2.3.4:80 113.108.109.28:4941 SYN_RECV -
tcp 0 0 1.2.3.4:80 220.179.92.143:11717 SYN_RECV -
一看就知道是被攻击了
我现在也不求解决方法,只求找到被攻击的原因。
因为这台机器上面安装了apache,只放了一个网站的源码,没有绑定任何域名,但是我将很多域名指向了这台服务器的ip,所以只要是解析过来的域名,都可以用域名直接打开网站。
这样说可能有人不明白,例如我这台服务器的IP是:1.2.3.4
我将aaa.com解析到1.2.3.4
我将bbb.com解析到1.2.3.4
但是apache虽然没有绑定这两个域名,但是因为解析过来了,可以用域名直接访问网站。因为我这个站,可以直接用独立ip访问,所以可以这样操作的。
现在被攻击的原因应该是其中某个站被人盯上了,但是我不知道具体是哪个站,有什么办法可以查出来吗?
apache的日志文件只能查看访问的ip,无法知道是通过哪个解析域名过来的
而且apache的日志都这样了:
112.98.98.113 - - [31/May/2011:17:28:24 +0400] "xc1xc1xc1xc1xc1xc1xc1xc1xc1xc1xc1xc1" 414 250
58.214.244.202 - - [31/May/2011:17:28:39 +0400] "\\\\\\\\\\\\\\\\\\\\\\\" 414 250
|
还有lz你的应该是ddos的,没有根本的办法来解决问题的,因为是多个攻击源,最好的方法就是优化服务器性能,尝试把同时连接数增大,缩短链接时间,
其实最好的方法应该是把web挺掉。。
其实最好的方法应该是把web挺掉。。
|
没有防火墙挡一档吗
|
我的机子也是
同问
同问
|
抓包 然后分析 就能清楚了 http协议上有写
|
不懂。。
被攻击真是一件另人不爽的事儿。。
被攻击真是一件另人不爽的事儿。。
|
给LZ推荐人家一个服务器管理员写的东西--《功能强大的防DDoS攻击脚本》:http://security.zdnet.com.cn/security_zone/2011/0604/2039915.shtml
还有,我觉的LZ至少应该设置一下iptables吧?
还有,我觉的LZ至少应该设置一下iptables吧?
|
还有这个--《iptables 防DDoS攻击脚本》:http://hi.baidu.com/sing520/blog/item/e6527a593884272f2934f043.html
DDoS虽不能彻底防范,但稍做一些措施总是没坏处的嘛
DDoS虽不能彻底防范,但稍做一些措施总是没坏处的嘛
|
那些玩意吃饱了撑的吗,不懂那些蛋疼的人想干嘛?
攻击别人有好处吗?谁能解释下
攻击别人有好处吗?谁能解释下
|
可以满足那些变态心理
您可能感兴趣的文章:
本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。