Находится ли я под DDOS? [дубликат]
На этот вопрос уже есть ответ:
- Я нахожусь под DDoS. Что я могу сделать? 5 ответов
У меня есть почтовый сервер, Debian Linux 2.4 .31, который сбрасывает TCP-соединения и в основном недоступен. У меня на нем работает iptables, и он очень ограничен.
Когда я запускаю "netstat -tanp | wc -l", я получаю 366, в то время как "cat / proc / net / ip_conntrack | wc -l "дает мне 124172, потому что я увеличил / proc / sys / net / ipv4 / ip_conntrack_max, так как я бы увидел" ip_conntrack: table full, drop package. "в выводе dmesg, и да, я все еще вижу их, хотя я увеличил максимум.
Я бы / должен был включить файлы cookie tcp syn, но по какой-то странной причине ядро было скомпилировано без него, поэтому я не могу продолжить работу, не перекомпилировав его.
Я просто хотел знать, описывают ли эти симптомы DDOS, поэтому я бы пошел вперед и добавил tcp_syn_cookies.
Спасибо.
Единственный способ истинно знать будет состоять в том, чтобы исследовать входящий трафик. Возьмите использование сбора сетевых данных tcpdump от Вашего внешнего направления взаимодействуют через интерфейс в течение времени.
tcpdump -s 1500 -w <filename>.pcap -i <interface>
^C это, когда Вы думаете, что собрали достаточно данных. Затем идеально скопируйте pcap файл в машину с GUI и исследуйте с Wireshark.
Это должно смочь дать Вам хорошую идею того, где начать затем. Возможности состоят в том, что Вы не имеете дело с как таковым DDOS, но потенциально большая сумма спама или сканирований портов.
-
1я wouldn' t используют tcpdump на рабочем сервере без флага-p – Istvan 5 September 2009 в 14:23
-
2Я просто получил некоторый трафик, проблемой является этот сервер, действительно обрабатывает большой трафик так его жесткое для точного определения неправильных пакетов. I' m не эксперт по wireshark так является там выражениями, который говорит " покажите мне SYNs без ACKs" хм, возможно, если я считаю tcp.flags.reset? – A4A 5 September 2009 в 17:11
-
3here' s развитие: Я разочаровался в доказательстве, что я нахожусь под DDOS, и я загрузил ядро, которое действительно имеет tcp_syn_cookies и теперь I' m получение " возможный SYN, лавинно рассылающий на порте 25. Отправка cookies" хотя они - немногие, 10 сообщений в течение прошлых 17 часов. Но сервер работает большой, нет отброшенные пакеты TCP и " кошка/proc/net/ip_conntrack | туалет-l" дает 9676, который является двумя порядками величины меньше, чем, что я имел ранее. Спасибо всем. – A4A 6 September 2009 в 11:18
Каково состояние netstat-antp соединения?
Я предполагаю, что у Вас есть соединения, так или иначе застрял, и записи остаются, пока пакет RST не отправляется, если имеют облупленную сеть где-нибудь между Вами и клиентами, получающими доступ к Вашему серверу, он может вызвать определенные пакеты, отбрасываются, и Ваша таблица будет полна.
Лучше для проверки записей и попытки выяснить, что является шаблоном для не правильно закрытых соединений.
Это могло бы также произойти, потому что Вы NIC повреждаетесь некоторый путь.
-
1Спасибо. eth0 выглядит хорошо: RX packets:266838645 errors:7 dropped:0 overruns:0 frame:4 TX packets:301851360 errors:0 dropped:0 overruns:0 carrier:0 хорошо, это имеет 7 ошибок, но я сомневаюсь относительно этого, был бы причиной с так большим трафиком, правильно? Вы знаете то, что я просто проверил netstat, как Вы предположили, у меня есть 106 соединений TCP в двух состояниях, или SYN_SENT или TIME_WAIT ничто иное, глупая вещь, они идут в другую мою машину, которая имеет spamassassin :( Ой, я - DDOSing сам? – A4A 5 September 2009 в 13:23
-
2
-
3