【求助】飽受攻擊的APACHE

  • 【求助】飽受攻擊的APACHE

    • 第 1 頁,共 3 頁 1 2 3 末頁末頁
    顯示結果從第 1 筆 到 10 筆,共計 29 筆
    1. 2005-02-01, 04:03 PM #1
      皮皮
      皮皮 目前未上線
      皮皮您快回家
      註冊日期
      2001-11-25
      所在地區
      ADSL 8M/640K
      討論區文章
      336

      【求助】飽受攻擊的APACHE

      小弟家網站最近常收到此類的連線
      tcp 0 0 172.16.1.1:80 211.23.65.227:64884 SYN_RECV -
      tcp 0 0 172.16.1.1:80 61.231.94.233:4751 SYN_RECV -
      tcp 0 0 172.16.1.1:80 61.231.94.233:4749 SYN_RECV -
      tcp 0 0 172.16.1.1:80 61.231.94.233:4747 SYN_RECV -
      tcp 0 0 172.16.1.1:80 61.231.94.233:4745 SYN_RECV -
      tcp 0 0 172.16.1.1:80 211.23.65.227:64876 SYN_RECV -
      tcp 0 0 172.16.1.1:80 61.231.94.233:4743 SYN_RECV -
      tcp 0 0 172.16.1.1:80 61.231.94.233:4741 SYN_RECV -
      tcp 0 0 172.16.1.1:80 211.23.65.227:65378 SYN_RECV -
      tcp 0 0 172.16.1.1:80 211.23.65.227:64864 SYN_RECV -
      tcp 0 0 172.16.1.1:80 61.231.94.233:4739 SYN_RECV -
      tcp 0 0 172.16.1.1:80 211.23.65.227:64614 SYN_RECV -
      tcp 0 0 172.16.1.1:80 211.23.65.227:64870 SYN_RECV -
      tcp 0 0 172.16.1.1:80 61.231.94.233:4737 SYN_RECV -
      tcp 0 0 172.16.1.1:80 211.23.65.227:65126 SYN_RECV -
      .............最少有500個以上!!

      是惡意攻擊嗎?

      造成公司內部的上網也好慢好慢~~更何況網站~~也是慢的嚇人!!!
      有人熟IPTABLES的設定嗎?需要增加哪幾條設定呢?

      以下是小弟的設定~~
      Chain INPUT (policy ACCEPT)
      target prot opt source destination
      DROP tcp -- 203.86.164.36 anywhere tcp
      DROP tcp -- swtp130-10.adsl.seed.net.tw anywhere tcp
      DROP tcp -- 202.153.117.2 anywhere tcp
      ACCEPT tcp -- anywhere anywhere tcp dpt:http
      ACCEPT tcp -- anywhere anywhere tcp dpt:https
      ACCEPT tcp -- anywhere anywhere tcp dpt:10000
      ACCEPT tcp -- dns.e-muse.com.tw anywhere tcp
      ACCEPT tcp -- 210-192-XX-XX.adsl.ttn.net anywhere tcp
      ACCEPT tcp -- 210-192-XX-XX.adsl.ttn.net anywhere tcp
      ACCEPT tcp -- 210-192-XX-XX.adsl.ttn.net anywhere tcp
      ACCEPT tcp -- 210-192-XX-XX.adsl.ttn.net anywhere tcp
      ACCEPT tcp -- 61-71-73-196.adsl.static.giga.net.tw anywhere tcp
      DROP tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN
      DROP icmp -- anywhere anywhere icmp echo-request
      DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
      DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
      DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG
      DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
      DROP tcp -- anywhere anywhere tcp flags:SYN,RST/SYN,RST
      DROP tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN
      syn-flood tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN
      DROP tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN state NEW

      Chain FORWARD (policy DROP)
      target prot opt source destination

      Chain OUTPUT (policy ACCEPT)
      target prot opt source destination

      Chain syn-flood (1 references)
      target prot opt source destination
      RETURN all -- anywhere anywhere limit: avg 1/sec burst 4
      DROP all -- anywhere


      回覆時引用此文章 回覆時引用此文章
    2. 2005-02-01, 04:30 PM #2
      hhdig
      hhdig 目前未上線
      會員
      註冊日期
      2001-11-12
      所在地區
      ADSL 8M\640K 真奇怪的頻寬比例
      討論區文章
      953
      小弟個人覺得...這樣設定好累....

      何不在INPUT的鍊就直接設定policy DROP
      然後規則中就只要設定你要開放的IP或連接埠,不需去設定要擋掉的
      以現在policy ACCEPT的狀況,你也只要設要擋掉的就好了,不需去設定要接受的
      這樣可以讓你的規則看起來清爽一點
      另外擋掉ping的指令也會比較好,ping 的指令是使用 icmp type 8

      Chain INPUT (policy ACCEPT) 這一行的意思是
      若是在INPUT的鍊中,沒有一條規則適用的話則放行通過(因為policy為ACCEPT)

      小弟最近在試iptables,以上只是建議,並不是針對您的問題在解決問題
      因為小弟的功力也還沒那麼高深........^^
      回覆時引用此文章 回覆時引用此文章
    3. 2005-02-01, 09:23 PM #3
      cheerx
      cheerx 目前未上線
      明誠科技小峰 cheerx 的大頭照
      註冊日期
      2002-06-18
      所在地區
      FTTH 20M
      討論區文章
      5,126
      請問ㄧ下 您的網路拓墣前端有沒有不是linux的防火牆呢?沒有的話大概沒辦法,2.4的核心不管iptable怎麼設定,都沒有辦法阻擋tcp syn的攻擊的,除非您的網卡有硬體防火牆功能,驅動程式也也特別改過.
      明誠科技小峰 Line ID:cheerx

      目前做點對點無線網路架設,節費電話系統,硬碟手機資料救援,還有徵信社的部分業務
      回覆時引用此文章 回覆時引用此文章
    4. 2005-02-02, 10:10 AM #4
      hhdig
      hhdig 目前未上線
      會員
      註冊日期
      2001-11-12
      所在地區
      ADSL 8M\640K 真奇怪的頻寬比例
      討論區文章
      953
      引用 作者:cheerx
      請問ㄧ下 您的網路拓墣前端有沒有不是linux的防火牆呢?沒有的話大概沒辦法,2.4的核心不管iptable怎麼設定,都沒有辦法阻擋tcp syn的攻擊的,除非您的網卡有硬體防火牆功能,驅動程式也也特別改過.

      如果設定為帶有SYN旗標的封包都丟棄呢??
      會有什麼影響呢??
      回覆時引用此文章 回覆時引用此文章
    5. 2005-02-02, 10:39 AM #5
      cheerx
      cheerx 目前未上線
      明誠科技小峰 cheerx 的大頭照
      註冊日期
      2002-06-18
      所在地區
      FTTH 20M
      討論區文章
      5,126
      hhdig兄,那正常的連線要怎麼辦??目前要解決這個問題的方式比較常見的是改用2.6.X的核心(但是2.6.X並不是STABLE版),加上除了核心要改,網卡的驅動程式也要特別有做修正,目前好像只有大廠的網卡有做,所以....

      如果前端有防火牆,就直接開啟防火牆的防禦TCP SYN的項目吧!沒有的話,那就要問問看您的ISP願不願意幫您處理ㄧ下了.


      明誠科技小峰 Line ID:cheerx

      目前做點對點無線網路架設,節費電話系統,硬碟手機資料救援,還有徵信社的部分業務
      回覆時引用此文章 回覆時引用此文章
    6. 2005-02-04, 01:46 PM #6
      dominic
      dominic 目前未上線
      Aya Brea ... 的最愛 dominic 的大頭照
      註冊日期
      2002-01-27
      討論區文章
      1,085
      引用 作者:hhdig
      如果設定為帶有SYN旗標的封包都丟棄呢??
      會有什麼影響呢??
      這必須看你的電腦用途才知道是否會影響

      若一般非伺服器主機通常是沒有關係的....若有架設類似web server那鐵定是不行的

      因為客戶端連上你電腦就會先傳帶syn的封包至你的伺服器..
      回覆時引用此文章 回覆時引用此文章
    7. 2005-02-04, 01:53 PM #7
      皮皮
      皮皮 目前未上線
      皮皮您快回家
      註冊日期
      2001-11-25
      所在地區
      ADSL 8M/640K
      討論區文章
      336
      網路抓了一堆有關的文章~~
      發現幾個問題點
      1.APACHE的版本
      2.防火牆設定
      3.硬體的規格
      4.頻寬的大小

      根據文章判別好像APACHE1.幾版本的有受到某病毒的圖害
      http://redhat.ecenter.idv.tw/showthr...threadid=39679
      小弟決定先著手更新APACHE的版先試看看~~謝謝!!!

      小弟不是MIS啦~~~是行銷企劃兼網頁設計兼業務!!!
      公司就是誰會就誰搞!!
      誰比較會誰就搞!!
      沒有人會就會搞相關的人想辦法搞!!
      沒人會搞沒人想搞公司不搞~搞屁啦!!

      謝謝~~
      回覆時引用此文章 回覆時引用此文章
    8. 2005-02-04, 02:03 PM #8
      dominic
      dominic 目前未上線
      Aya Brea ... 的最愛 dominic 的大頭照
      註冊日期
      2002-01-27
      討論區文章
      1,085
      引用 作者:皮皮
      網路抓了一堆有關的文章~~
      發現幾個問題點
      1.APACHE的版本
      2.防火牆設定
      3.硬體的規格
      4.頻寬的大小

      根據文章判別好像APACHE1.幾版本的有受到某病毒的圖害
      http://redhat.ecenter.idv.tw/showthr...threadid=39679
      小弟決定先著手更新APACHE的版先試看看~~謝謝!!!

      小弟不是MIS啦~~~是行銷企劃兼網頁設計兼業務!!!
      公司就是誰會就誰搞!!
      誰比較會誰就搞!!
      沒有人會就會搞相關的人想辦法搞!!
      沒人會搞沒人想搞公司不搞~搞屁啦!!

      謝謝~~
      根據皮皮兄給的網址..如果貴server沒有開ssl的443 port就不用去在意了
      這個問題是ssl mod的問題.....
      回覆時引用此文章 回覆時引用此文章
    9. 2005-02-04, 02:10 PM #9
      皮皮
      皮皮 目前未上線
      皮皮您快回家
      註冊日期
      2001-11-25
      所在地區
      ADSL 8M/640K
      討論區文章
      336
      引用 作者:dominic
      根據皮皮兄給的網址..如果貴server沒有開ssl的443 port就不用去在意了
      這個問題是ssl mod的問題.....
      那這樣說來還是要從IPTABLES著手嗎?
      dominic兄您的主機板跟我一樣咧!!!
      回覆時引用此文章 回覆時引用此文章
    10. 2005-02-04, 02:17 PM #10
      cheerx
      cheerx 目前未上線
      明誠科技小峰 cheerx 的大頭照
      註冊日期
      2002-06-18
      所在地區
      FTTH 20M
      討論區文章
      5,126
      這.....不是已經說不是APACHE版本的問題了嗎?這是LINUX核心的問題,更換APACHE要做什麼?


      明誠科技小峰 Line ID:cheerx

      目前做點對點無線網路架設,節費電話系統,硬碟手機資料救援,還有徵信社的部分業務
      回覆時引用此文章 回覆時引用此文章
    第 1 頁,共 3 頁 1 2 3 末頁末頁
    « 上一個主題 | 下一個主題 »

    類似的主題

    1. 【轉貼】ADSL防禦黑客攻擊的十大辦法 (黑鷹基地)
      作者:FYI 所在討論版:-- 防 駭 / 防 毒 版
      回覆: 0
      最後發表: 2006-11-08, 12:14 PM
    2. 一直受攻擊會影響速度嗎?
      作者:blueshen 所在討論版:-- 防 駭 / 防 毒 版
      回覆: 1
      最後發表: 2005-09-22, 05:45 PM
    3. 【求助】病毒攻擊的特徵?
      作者:coldman 所在討論版:-- 防 駭 / 防 毒 版
      回覆: 2
      最後發表: 2004-06-09, 04:05 PM
    4. 【硬體】請推薦架站,防DoS攻擊的硬體
      作者:suona 所在討論版:-- 網 路 硬 體 版
      回覆: 15
      最後發表: 2003-11-18, 10:58 PM
    5. Pccillin2002的防火牆受攻擊
      作者:digiftp 所在討論版:-- 防 駭 / 防 毒 版
      回覆: 14
      最後發表: 2002-04-13, 03:15 AM

     

    iptables -a forward -p tcp --dport 443 -d www.facebook.com -j drop

    書籤

    發表文章規則

    • 不可以發表新主題
    • 不可以回覆文章
    • 不可以上傳附加檔案
    • 不可以編輯自己的文章
    •  

    討論版規則