皮皮您快回家 | 【求助】飽受攻擊的APACHE 小弟家網站最近常收到此類的連線 tcp 0 0 172.16.1.1:80 211.23.65.227:64884 SYN_RECV - tcp 0 0 172.16.1.1:80 61.231.94.233:4751 SYN_RECV - tcp 0 0 172.16.1.1:80 61.231.94.233:4749 SYN_RECV - tcp 0 0 172.16.1.1:80 61.231.94.233:4747 SYN_RECV - tcp 0 0 172.16.1.1:80 61.231.94.233:4745 SYN_RECV - tcp 0 0 172.16.1.1:80 211.23.65.227:64876 SYN_RECV - tcp 0 0 172.16.1.1:80 61.231.94.233:4743 SYN_RECV - tcp 0 0 172.16.1.1:80 61.231.94.233:4741 SYN_RECV - tcp 0 0 172.16.1.1:80 211.23.65.227:65378 SYN_RECV - tcp 0 0 172.16.1.1:80 211.23.65.227:64864 SYN_RECV - tcp 0 0 172.16.1.1:80 61.231.94.233:4739 SYN_RECV - tcp 0 0 172.16.1.1:80 211.23.65.227:64614 SYN_RECV - tcp 0 0 172.16.1.1:80 211.23.65.227:64870 SYN_RECV - tcp 0 0 172.16.1.1:80 61.231.94.233:4737 SYN_RECV - tcp 0 0 172.16.1.1:80 211.23.65.227:65126 SYN_RECV - .............最少有500個以上!! 是惡意攻擊嗎? 造成公司內部的上網也好慢好慢~~更何況網站~~也是慢的嚇人!!! 有人熟IPTABLES的設定嗎?需要增加哪幾條設定呢? 以下是小弟的設定~~ Chain INPUT (policy ACCEPT) target prot opt source destination DROP tcp -- 203.86.164.36 anywhere tcp DROP tcp -- swtp130-10.adsl.seed.net.tw anywhere tcp DROP tcp -- 202.153.117.2 anywhere tcp ACCEPT tcp -- anywhere anywhere tcp dpt:http ACCEPT tcp -- anywhere anywhere tcp dpt:https ACCEPT tcp -- anywhere anywhere tcp dpt:10000 ACCEPT tcp -- dns.e-muse.com.tw anywhere tcp ACCEPT tcp -- 210-192-XX-XX.adsl.ttn.net anywhere tcp ACCEPT tcp -- 210-192-XX-XX.adsl.ttn.net anywhere tcp ACCEPT tcp -- 210-192-XX-XX.adsl.ttn.net anywhere tcp ACCEPT tcp -- 210-192-XX-XX.adsl.ttn.net anywhere tcp ACCEPT tcp -- 61-71-73-196.adsl.static.giga.net.tw anywhere tcp DROP tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN DROP icmp -- anywhere anywhere icmp echo-request DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE DROP tcp -- anywhere anywhere tcp flags:SYN,RST/SYN,RST DROP tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN syn-flood tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN DROP tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN state NEW Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain syn-flood (1 references) target prot opt source destination RETURN all -- anywhere anywhere limit: avg 1/sec burst 4 DROP all -- anywhere |
回覆 |
會員 | 小弟個人覺得...這樣設定好累.... 何不在INPUT的鍊就直接設定policy DROP 然後規則中就只要設定你要開放的IP或連接埠,不需去設定要擋掉的 以現在policy ACCEPT的狀況,你也只要設要擋掉的就好了,不需去設定要接受的 這樣可以讓你的規則看起來清爽一點 另外擋掉ping的指令也會比較好,ping 的指令是使用 icmp type 8 Chain INPUT (policy ACCEPT) 這一行的意思是 若是在INPUT的鍊中,沒有一條規則適用的話則放行通過(因為policy為ACCEPT) 小弟最近在試iptables,以上只是建議,並不是針對您的問題在解決問題 因為小弟的功力也還沒那麼高深........^^ |
回覆 |
明誠科技小峰 | 請問ㄧ下 您的網路拓墣前端有沒有不是linux的防火牆呢?沒有的話大概沒辦法,2.4的核心不管iptable怎麼設定,都沒有辦法阻擋tcp syn的攻擊的,除非您的網卡有硬體防火牆功能,驅動程式也也特別改過. |
回覆 |
會員 | 引用:
如果設定為帶有SYN旗標的封包都丟棄呢?? 會有什麼影響呢?? | |
回覆 |
明誠科技小峰 | hhdig兄,那正常的連線要怎麼辦??目前要解決這個問題的方式比較常見的是改用2.6.X的核心(但是2.6.X並不是STABLE版),加上除了核心要改,網卡的驅動程式也要特別有做修正,目前好像只有大廠的網卡有做,所以.... 如果前端有防火牆,就直接開啟防火牆的防禦TCP SYN的項目吧!沒有的話,那就要問問看您的ISP願不願意幫您處理ㄧ下了. |
回覆 |
Aya Brea ... 的最愛 | 引用:
若一般非伺服器主機通常是沒有關係的....若有架設類似web server那鐵定是不行的 因為客戶端連上你電腦就會先傳帶syn的封包至你的伺服器.. | |
回覆 |
皮皮您快回家 | 網路抓了一堆有關的文章~~ 發現幾個問題點 1.APACHE的版本 2.防火牆設定 3.硬體的規格 4.頻寬的大小 根據文章判別好像APACHE1.幾版本的有受到某病毒的圖害 http://redhat.ecenter.idv.tw/vbb3/sh...threadid=39679 小弟決定先著手更新APACHE的版先試看看~~謝謝!!! 小弟不是MIS啦~~~是行銷企劃兼網頁設計兼業務!!! 公司就是誰會就誰搞!! 誰比較會誰就搞!! 沒有人會就會搞相關的人想辦法搞!! 沒人會搞沒人想搞公司不搞~搞屁啦!! 謝謝~~ |
回覆 |
Aya Brea ... 的最愛 | 引用:
這個問題是ssl mod的問題..... | |
回覆 |
皮皮您快回家 | 引用:
dominic兄您的主機板跟我一樣咧!!! | |
回覆 |
明誠科技小峰 | 這.....不是已經說不是APACHE版本的問題了嗎?這是LINUX核心的問題,更換APACHE要做什麼? |
回覆 |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。