[求助]紧急求助！公司服务器被ddos攻击了！-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]紧急求助！公司服务器被ddos攻击了！

发表于: 2014-9-16 22:38 13354

[求助]紧急求助！公司服务器被ddos攻击了！

zylyy

2014-9-16 22:38

13354

现在我们攻击的网站服务器被大量来历不明的肉鸡攻击，来自全国不同Ip的服务器对我们公司的服务器发起大量的HTTP请求，结果导致正常的用户访问不了了。
这个问题应该怎么解决？
下面是记录到的部分信息：
39.68.37.61 - - [16/Sep/2014:17:53:38 +0800] "GET / HTTP/1.0" 403 280 "w4mvtbpnpj.com" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.2 (KHTML, like Gecko) Chrome/4.0.221.7 Safari/532.2"
60.189.226.158 - - [16/Sep/2014:17:53:38 +0800] "GET / HTTP/1.0" 403 280 "unm5s6tn6e.org" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.52 Safari/536.5"
180.175.213.227 - - [16/Sep/2014:17:53:38 +0800] "GET / HTTP/1.0" 403 280 "y8j9beo4db.de" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.52 Safari/536.5"
49.88.39.116 - - [16/Sep/2014:17:53:24 +0800] "POST / HTTP/1.0" 403 280 "2hf5eeme0v.de" "Mozilla/5.0 (iPhone; CPU iPhone OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Version/5.1 Mobile/9B206 Safari/7534.48.3"
27.196.97.94 - - [16/Sep/2014:17:53:31 +0800] "POST / HTTP/1.0" 403 280 "zjowle45fr.de" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.52 Safari/536.5"
112.102.121.173 - - [16/Sep/2014:17:53:39 +0800] "GET / HTTP/1.0" 403 280 "uuhuqm4wuj.me" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
223.64.63.146 - - [16/Sep/2014:17:53:39 +0800] "GET / HTTP/1.0" 403 280 "0s5lws63qo.me" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_4) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.52 Safari/536.5"
222.76.194.218 - - [16/Sep/2014:17:53:15 +0800] "POST / HTTP/1.0" 403 280 "mfs8kxm1bj.de" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3"
112.92.75.146 - - [16/Sep/2014:17:53:39 +0800] "GET / HTTP/1.0" 403 280 "3mceargcwy.de" "Mozilla/4.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.9.0.11)"
221.219.109.59 - - [16/Sep/2014:17:53:39 +0800] "GET / HTTP/1.0" 403 280 "rh51qxllon.org" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.46 Safari/536.5"

以前从未遇到这种事，不知道怎么解决？
目前就是100兆带宽全部占满，结果正常用户访问时没有响应了？得很长时间打开主页？这个有什么很好的解决方案？需不需要提供网络服务提供商来解决？是不是在我们的服务器上屏蔽这些恶意IP就可以了？带宽问题能不能仅通过屏蔽IP就能搞定？
我也知道升级到千兆网卡能够解决这个问题，但是目前我们希望话最小的成本最快的速度解决这个问题？
请分析一下解决方案。跪求。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

收藏・0

免费・0

支持

最新回复 (19)
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 2 楼报警。。。。。。。。。 2014-9-16 22:45 0
glces 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	glces 3 楼得看具体是什么攻击, 一般机房上的防火墙能看到的, 耗带宽应该不是流量, 可能是CC 机房硬防做策略, 自己在服务器上手动封IP, 一般很快就能解决正常的机房都可以处理的, 如果和售后技术关系好他会帮你处理的很快 2014-9-16 22:47 0
wuyuhan 雪币： 41 活跃值： (177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 96 粉丝 1 关注私信	wuyuhan 4 楼 HTTP FLOOD 。首先报警。看能不能找到通用的指纹。来过滤数据包。找不到的话就只能做别的措施了。应该是代理CC攻击。看日志的话还是有一部分数据差不多相同的。 Linux 服务器的话就用iptable过滤吧。 windows 的话就很麻烦了 2014-9-16 22:50 0
glces 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	glces 5 楼而且你升级千M网卡也不见得能解决, 应该是升级到千M带宽, 也就是G口带宽可能可以解决 2014-9-16 22:54 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 6 楼是linux服务器 2014-9-16 23:02 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 7 楼刚屏蔽了一些IP，现在服务器好一点了，还有没有其他更好的解决方案呢，欢迎各抒己见 2014-9-16 23:22 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 8 楼注意这个： Chrome/19.0.1084.52 Safari/536.5 2014-9-16 23:51 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 9 楼 112.92.75.146 - - [16/Sep/2014:17:53:39 +0800] "GET / HTTP/1.0" 403 280 "3mceargcwy.de" "Mozilla/4.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.9.0.11)" 写个请求过滤 2014-9-17 00:56 0
爱无界的痛雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	爱无界的痛 10 楼 [QUOTE=zylyy;1317088]现在我们攻击的网站服务器被大量来历不明的肉鸡攻击，来自全国不同Ip的服务器对我们公司的服务器发起大量的HTTP请求，结果导致正常的用户访问不了了。这个问题应该怎么解决？下面是记录到的部分信息： 39.68.37.61 - - [16/S...[/QUOTE] 升级千兆又能如何,照样，前段时间facebook 万兆的还不是被DDOS攻击。还不如加同IP 一段时间请求限制加限制次，超过直接踢掉，归为恶意攻击。 2014-9-17 15:05 0
IMisterH 雪币： 19 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	IMisterH 11 楼靠CDN扛 2014-9-17 15:35 0
ayunaa 雪币： 18 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 348 粉丝 0 关注私信	ayunaa 12 楼明显cc了 2014-9-19 15:24 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 13 楼应用层的。直接封IP。写个脚本直接iptables drop 掉。 2014-9-19 16:33 0
佟鹏雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	佟鹏 14 楼只能换硬防 2014-9-20 22:53 0
zhighest 雪币： 4731 活跃值： (4154) 能力值： ( LV8，RANK：138 ) 在线值：发帖 5 回帖 131 粉丝 6 关注私信	zhighest 15 楼加速乐之类的CDN… 2014-9-20 22:55 0
耀磊数据小凡雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	耀磊数据小凡 16 楼可以让机房更换一个IP地址进去服务器检查设置。但是毕竟不是长久之计，如果黑客盯上你了，肯定会一直被攻击。使用高防服务器，还是相对靠谱，因为攻击也是需要成本的。82520043可以加Q讨论 2017-8-14 15:09 0
jaciyu 雪币： 52 活跃值： (225) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	jaciyu 17 楼加cdn。 2017-8-15 12:15 0
aimhack 雪币： 423 活跃值： (501) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 80 粉丝 11 关注私信	aimhack 18 楼 CDN啊~ 2017-8-15 18:19 0
易伤痕雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	易伤痕 19 楼听一个朋友说过一个故事：一个做博彩网站的站长天天被人ddos，最后受不了把域名解析到了农行的ip上，然后对方就被抓了。不知道真假，楼主可以试试 2017-8-15 18:27 0
麻买皮雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	麻买皮 20 楼易伤痕听一个朋友说过一个故事：一个做博彩网站的站长天天被人ddos，最后受不了把域名解析到了农行的ip上，然后对方就被抓了。不知道真假，楼主可以试试[em_41] 他就是做博彩的。 2017-10-20 09:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zylyy

发帖

329

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 2 楼报警。。。。。。。。。 2014-9-16 22:45 0
glces 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	glces 3 楼得看具体是什么攻击, 一般机房上的防火墙能看到的, 耗带宽应该不是流量, 可能是CC 机房硬防做策略, 自己在服务器上手动封IP, 一般很快就能解决正常的机房都可以处理的, 如果和售后技术关系好他会帮你处理的很快 2014-9-16 22:47 0
wuyuhan 雪币： 41 活跃值： (177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 96 粉丝 1 关注私信	wuyuhan 4 楼 HTTP FLOOD 。首先报警。看能不能找到通用的指纹。来过滤数据包。找不到的话就只能做别的措施了。应该是代理CC攻击。看日志的话还是有一部分数据差不多相同的。 Linux 服务器的话就用iptable过滤吧。 windows 的话就很麻烦了 2014-9-16 22:50 0
glces 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	glces 5 楼而且你升级千M网卡也不见得能解决, 应该是升级到千M带宽, 也就是G口带宽可能可以解决 2014-9-16 22:54 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 6 楼是linux服务器 2014-9-16 23:02 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 7 楼刚屏蔽了一些IP，现在服务器好一点了，还有没有其他更好的解决方案呢，欢迎各抒己见 2014-9-16 23:22 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 8 楼注意这个： Chrome/19.0.1084.52 Safari/536.5 2014-9-16 23:51 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 9 楼 112.92.75.146 - - [16/Sep/2014:17:53:39 +0800] "GET / HTTP/1.0" 403 280 "3mceargcwy.de" "Mozilla/4.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.9.0.11)" 写个请求过滤 2014-9-17 00:56 0
爱无界的痛雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	爱无界的痛 10 楼 [QUOTE=zylyy;1317088]现在我们攻击的网站服务器被大量来历不明的肉鸡攻击，来自全国不同Ip的服务器对我们公司的服务器发起大量的HTTP请求，结果导致正常的用户访问不了了。这个问题应该怎么解决？下面是记录到的部分信息： 39.68.37.61 - - [16/S...[/QUOTE] 升级千兆又能如何,照样，前段时间facebook 万兆的还不是被DDOS攻击。还不如加同IP 一段时间请求限制加限制次，超过直接踢掉，归为恶意攻击。 2014-9-17 15:05 0
IMisterH 雪币： 19 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	IMisterH 11 楼靠CDN扛 2014-9-17 15:35 0
ayunaa 雪币： 18 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 348 粉丝 0 关注私信	ayunaa 12 楼明显cc了 2014-9-19 15:24 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 13 楼应用层的。直接封IP。写个脚本直接iptables drop 掉。 2014-9-19 16:33 0
佟鹏雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	佟鹏 14 楼只能换硬防 2014-9-20 22:53 0
zhighest 雪币： 4731 活跃值： (4154) 能力值： ( LV8，RANK：138 ) 在线值：发帖 5 回帖 131 粉丝 6 关注私信	zhighest 15 楼加速乐之类的CDN… 2014-9-20 22:55 0
耀磊数据小凡雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	耀磊数据小凡 16 楼可以让机房更换一个IP地址进去服务器检查设置。但是毕竟不是长久之计，如果黑客盯上你了，肯定会一直被攻击。使用高防服务器，还是相对靠谱，因为攻击也是需要成本的。82520043可以加Q讨论 2017-8-14 15:09 0
jaciyu 雪币： 52 活跃值： (225) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	jaciyu 17 楼加cdn。 2017-8-15 12:15 0
aimhack 雪币： 423 活跃值： (501) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 80 粉丝 11 关注私信	aimhack 18 楼 CDN啊~ 2017-8-15 18:19 0
易伤痕雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	易伤痕 19 楼听一个朋友说过一个故事：一个做博彩网站的站长天天被人ddos，最后受不了把域名解析到了农行的ip上，然后对方就被抓了。不知道真假，楼主可以试试 2017-8-15 18:27 0
麻买皮雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	麻买皮 20 楼易伤痕听一个朋友说过一个故事：一个做博彩网站的站长天天被人ddos，最后受不了把域名解析到了农行的ip上，然后对方就被抓了。不知道真假，楼主可以试试[em_41] 他就是做博彩的。 2017-10-20 09:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复