服务器遭到攻击,不知道是否误伤

2012年05月22日大约 20:55 的时候感觉网站有些不对劲儿:网页很难打开。查看 VPS 控制台发现出现了入站流量(Incoming Traffic)从原来的接近 0 增加到持续 40kbit/sec 左右。然后发现通过 PUTTY SSH 登录 VPS 控制台都很困难。看来不是网络状况不好,而是遭到攻击了。

暴涨的入站流量

暴涨的入站流量

上图右边蓝色线就是暴涨的入站流量。比平时多了太多。

好不容易登入到系统后台,却发现除了自己的 SSH 连接之外,没有其它连接。捣鼓半天实在搞不定,后来向 Linode 客服求救。再次感受到了他们响应之迅速。

通过 tcpdump 出了部分结果,如下。(嗯,这是刚刚 dump 出来的,虽然暂时解决了访问问题,但攻击还在持续。另外,服务器的时间与本地时间有点儿差别,我懒得调整。)

13:29:18.898132 IP 176.9.84.46.53804 > 106.187.50.90.https: Flags [S], seq 0, win 8192, length 0
13:29:18.900773 IP 176.9.84.46.53804 > 106.187.50.90.https: Flags [S], seq 0, win 8192, length 0
13:29:18.920774 IP 176.9.84.46.53804 > 106.187.50.90.https: Flags [S], seq 0, win 8192, length 0
13:29:18.921199 IP 176.9.84.46.53804 > 106.187.50.90.https: Flags [S], seq 0, win 8192, length 0
13:29:18.963636 IP 176.9.84.46.53804 > 106.187.50.90.https: Flags [S], seq 0, win 8192, length 0
13:29:18.983246 IP 176.9.84.46.53804 > 106.187.50.90.https: Flags [S], seq 0, win 8192, length 0
13:29:18.985887 IP 176.9.84.46.53804 > 106.187.50.90.https: Flags [S], seq 0, win 8192, length 0
13:29:18.986381 IP 176.9.84.46.53804 > 106.187.50.90.https: Flags [S], seq 0, win 8192, length 0
13:29:19.029227 IP 176.9.84.46.53804 > 106.187.50.90.https: Flags [S], seq 0, win 8192, length 0

不知道是属于什么攻击。攻击针对的是 https 端口,可是我并没有开启 https 端口(见我的安全设置)。所以只好直接通过 iptables 直接丢弃所有来自此 IP 的请求。

目前网站已经可以正常访问了,但是入站流量还在继续。并且 Linode 回复说他们也没有办法控制。不过,入站流量反正也不是很大,目前稳定在大约 20kb/s。并且 Linode 上入站的流量是不算在流量限额里面的。

已经向该 IP 的管理者发送邮件报告攻击了,不知道是否会有效果。

等待解决办法中……见到的朋友请支招,谢谢!

UPDATE

这一波攻击已经于 2012.05.23 03:15 左右停止。不知道是不是因为向该 IP 发送的报告得到处理了。

但是这一类型的攻击,还是不知道怎么防范。难道要一直监控服务器流量和响应?©

本文发表于水景一页。永久链接:<http://cnzhx.net/blog/server-been-attacted/>。转载请保留此信息及相应链接。

9 条关于 “服务器遭到攻击,不知道是否误伤” 的评论

  1. 13:29:18.920774 IP 176.9.84.46.53804 > 106.187.50.90.https: Flags [S], seq 0, win 8192, length 0

    刚刚在网络上搜索了下tcpdump的一些说明。可以说明,这里同这个176.9.84.46这个IP没什么关系。这里抓到的包是这个IP试图访问你服务器的443端口,但你的服务器并无对此作出反馈,也就是压根就不鸟他。

    • 居然把你引出来了。
      是这样,可是肯定与这个 IP 有联系,因为:
      1、tcpdump 的时候抓了大概半分钟的包,其中只有零星的几个 msnbot 和我自己的 IP 发送的,剩下大部分都是这个 IP 的这种包;
      2、通过 iptables DROP 掉这个 IP 的一切请求之后,网站能够正常打开了,而之前却需要多次刷新才有可能打开一次。

      刚发现在大约 3:15 的时候这个攻击停止了。可是心里还是放不下,担心下一次这样的攻击。

      • 哦,我不太清楚,连接不上的状态,也可以给DROP掉。 看样子,是我看的还不够仔细。你一直都用tcpdump来查

        有通过netstat来查连接数吗?

        按照流量来看,20K或者最多60K的一个速度,想引起LINODE,不能访问,这实在太不可思议了。

        • 不知道这个是个什么攻击方法。netstat 查过了,没有任何连接(除了我自己的 SSH 连接)。唯一能看到的就是 tcpdump 出来的那种了,我只是摘了连续的几个展示一下,实际上很多很多很多,虽然没有什么流量,但是系统很难响应别的请求(不是不能)。

  2. 能告诉我下,你通过tcpdump抓包的的指令是什么样的吗?我记得我在阿里云的机器上面通过tcpdump抓包的时候,里面含有大量邻居的包。

  3. 引用通告: 最近服务器受到攻击,总结一下特征 | 水景一页

雁过留声,人过留名

您的电子邮箱地址不会被公开。 必填项已用 * 标注

特别提示:与当前文章主题无关的讨论相关但需要较多讨论求助信息请发布到水景一页讨论区的相应版块,谢谢您的理解与合作!请参考本站互助指南
您可以在评论中使用如下的 HTML 标记来辅助表达: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>