DDOS攻击下的服务器-如何查找IP？

Question

我的服务器在DDOS攻击下，我想阻止正在进行攻击的IP，我应该寻找哪些日志来确定攻击者的IP？

Answer 1

tail -n 10000 yourweblog.log|cut -f 1 -d ' '|sort|uniq -c|sort -nr|more

看看最上面的IP地址。如果有什么突出之处的话，那就是防火墙。

netstat -n|grep :80|cut -c 45-|cut -f 1 -d ':'|sort|uniq -c|sort -nr|more

这将查看当前活动的连接，以查看是否有任何IP连接到端口80。您可能需要修改剪切的-c 45-因为IP地址可能不会从第45列开始。如果有人对您的well服务器做了UDP洪水，这也会得到它。

如果这两种行为都没有显示出任何过度越轨的in，那么您就需要假设有僵尸网络在攻击您，并且需要在日志中查找特定的模式，以查看它们正在做什么。针对wordpress网站的常见攻击是：

GET /index.php? HTTP/1.0

如果您查看您的网站的访问日志，您可能可以执行以下操作：

cut -f 2 -d '"' yourweblog.log|cut -f 2 -d ' '|sort|uniq -c|sort -nr|more

这会给你显示最常见的点击网址。您可能会发现，它们正在访问特定的脚本，而不是加载整个站点。

cut -f 4 -d '"' yourweblog.log|sort|uniq -c|sort -nr|more

将允许您查看常见的UserAgents。他们有可能在他们的攻击中使用单一的UserAgent。

诀窍是找到与正常流量中不存在的攻击流量相同的内容，然后通过iptables、mod_rewrite或与您的with主机一起进行上游过滤。如果你被Slowloris击中，Apache 2.2.15现在有了reqtimeout模块，它允许您配置一些设置来更好地保护Slowloris。

Answer 2

FYI -你应该尝试与你的ISP合作，看看他们是否可以阻止它上游的你。

Answer 3

我最喜欢的检查DOS攻击的日志文件是/var/ log /secure(在Redhat/Centos/Fedora.)和/var/log/auth.log (在ubuntu，debian.下)。您将看到从攻击者的源IP (大多数情况下基于字典的攻击)进行的登录尝试失败。