【求助】飽受攻擊的APACHE



贊助商連結


頁 : [1] 2 3

皮皮
2005-02-01, 04:03 PM
小弟家網站最近常收到此類的連線
tcp 0 0 172.16.1.1:80 211.23.65.227:64884 SYN_RECV -
tcp 0 0 172.16.1.1:80 61.231.94.233:4751 SYN_RECV -
tcp 0 0 172.16.1.1:80 61.231.94.233:4749 SYN_RECV -
tcp 0 0 172.16.1.1:80 61.231.94.233:4747 SYN_RECV -
tcp 0 0 172.16.1.1:80 61.231.94.233:4745 SYN_RECV -
tcp 0 0 172.16.1.1:80 211.23.65.227:64876 SYN_RECV -
tcp 0 0 172.16.1.1:80 61.231.94.233:4743 SYN_RECV -
tcp 0 0 172.16.1.1:80 61.231.94.233:4741 SYN_RECV -
tcp 0 0 172.16.1.1:80 211.23.65.227:65378 SYN_RECV -
tcp 0 0 172.16.1.1:80 211.23.65.227:64864 SYN_RECV -
tcp 0 0 172.16.1.1:80 61.231.94.233:4739 SYN_RECV -
tcp 0 0 172.16.1.1:80 211.23.65.227:64614 SYN_RECV -
tcp 0 0 172.16.1.1:80 211.23.65.227:64870 SYN_RECV -
tcp 0 0 172.16.1.1:80 61.231.94.233:4737 SYN_RECV -
tcp 0 0 172.16.1.1:80 211.23.65.227:65126 SYN_RECV -
.............最少有500個以上!!

是惡意攻擊嗎?

造成公司內部的上網也好慢好慢~~更何況網站~~也是慢的嚇人!!!
有人熟IPTABLES的設定嗎?需要增加哪幾條設定呢?

以下是小弟的設定~~
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 203.86.164.36 anywhere tcp
DROP tcp -- swtp130-10.adsl.seed.net.tw anywhere tcp
DROP tcp -- 202.153.117.2 anywhere tcp
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:10000
ACCEPT tcp -- dns.e-muse.com.tw anywhere tcp
ACCEPT tcp -- 210-192-XX-XX.adsl.ttn.net anywhere tcp
ACCEPT tcp -- 210-192-XX-XX.adsl.ttn.net anywhere tcp
ACCEPT tcp -- 210-192-XX-XX.adsl.ttn.net anywhere tcp
ACCEPT tcp -- 210-192-XX-XX.adsl.ttn.net anywhere tcp
ACCEPT tcp -- 61-71-73-196.adsl.static.giga.net.tw anywhere tcp
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN
DROP icmp -- anywhere anywhere icmp echo-request
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
DROP tcp -- anywhere anywhere tcp flags:SYN,RST/SYN,RST
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN
syn-flood tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN
DROP tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN state NEW

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain syn-flood (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere limit: avg 1/sec burst 4
DROP all -- anywhere

贊助商連結


hhdig
2005-02-01, 04:30 PM
小弟個人覺得...這樣設定好累....

何不在INPUT的鍊就直接設定policy DROP
然後規則中就只要設定你要開放的IP或連接埠,不需去設定要擋掉的
以現在policy ACCEPT的狀況,你也只要設要擋掉的就好了,不需去設定要接受的
這樣可以讓你的規則看起來清爽一點
另外擋掉ping的指令也會比較好,ping 的指令是使用 icmp type 8

Chain INPUT (policy ACCEPT) 這一行的意思是
若是在INPUT的鍊中,沒有一條規則適用的話則放行通過(因為policy為ACCEPT)

小弟最近在試iptables,以上只是建議,並不是針對您的問題在解決問題
因為小弟的功力也還沒那麼高深........^^

cheerx
2005-02-01, 09:23 PM
請問ㄧ下 您的網路拓墣前端有沒有不是linux的防火牆呢?沒有的話大概沒辦法,2.4的核心不管iptable怎麼設定,都沒有辦法阻擋tcp syn的攻擊的,除非您的網卡有硬體防火牆功能,驅動程式也也特別改過.

hhdig
2005-02-02, 10:10 AM
請問ㄧ下 您的網路拓墣前端有沒有不是linux的防火牆呢?沒有的話大概沒辦法,2.4的核心不管iptable怎麼設定,都沒有辦法阻擋tcp syn的攻擊的,除非您的網卡有硬體防火牆功能,驅動程式也也特別改過.


如果設定為帶有SYN旗標的封包都丟棄呢??
會有什麼影響呢??

cheerx
2005-02-02, 10:39 AM
hhdig兄,那正常的連線要怎麼辦??目前要解決這個問題的方式比較常見的是改用2.6.X的核心(但是2.6.X並不是STABLE版),加上除了核心要改,網卡的驅動程式也要特別有做修正,目前好像只有大廠的網卡有做,所以....

如果前端有防火牆,就直接開啟防火牆的防禦TCP SYN的項目吧!沒有的話,那就要問問看您的ISP願不願意幫您處理ㄧ下了.

dominic
2005-02-04, 01:46 PM
如果設定為帶有SYN旗標的封包都丟棄呢??
會有什麼影響呢??

這必須看你的電腦用途才知道是否會影響

若一般非伺服器主機通常是沒有關係的....若有架設類似web server那鐵定是不行的

因為客戶端連上你電腦就會先傳帶syn的封包至你的伺服器..

皮皮
2005-02-04, 01:53 PM
網路抓了一堆有關的文章~~
發現幾個問題點
1.APACHE的版本
2.防火牆設定
3.硬體的規格
4.頻寬的大小

根據文章判別好像APACHE1.幾版本的有受到某病毒的圖害
http://redhat.ecenter.idv.tw/showthread.php?threadid=39679
小弟決定先著手更新APACHE的版先試看看~~謝謝!!!

小弟不是MIS啦~~~是行銷企劃兼網頁設計兼業務!!!
公司就是誰會就誰搞!!
誰比較會誰就搞!!
沒有人會就會搞相關的人想辦法搞!!
沒人會搞沒人想搞公司不搞~搞屁啦!!

謝謝~~

dominic
2005-02-04, 02:03 PM
網路抓了一堆有關的文章~~
發現幾個問題點
1.APACHE的版本
2.防火牆設定
3.硬體的規格
4.頻寬的大小

根據文章判別好像APACHE1.幾版本的有受到某病毒的圖害
http://redhat.ecenter.idv.tw/showthread.php?threadid=39679
小弟決定先著手更新APACHE的版先試看看~~謝謝!!!

小弟不是MIS啦~~~是行銷企劃兼網頁設計兼業務!!!
公司就是誰會就誰搞!!
誰比較會誰就搞!!
沒有人會就會搞相關的人想辦法搞!!
沒人會搞沒人想搞公司不搞~搞屁啦!!

謝謝~~

根據皮皮兄給的網址..如果貴server沒有開ssl的443 port就不用去在意了
這個問題是ssl mod的問題.....

皮皮
2005-02-04, 02:10 PM
根據皮皮兄給的網址..如果貴server沒有開ssl的443 port就不用去在意了
這個問題是ssl mod的問題.....

那這樣說來還是要從IPTABLES著手嗎?
dominic兄您的主機板跟我一樣咧!!!

cheerx
2005-02-04, 02:17 PM
這.....不是已經說不是APACHE版本的問題了嗎?這是LINUX核心的問題,更換APACHE要做什麼?