记一次DDOS的防护

今天服务器突然崩了, 网站访问突然时有时无, 然而查看(阿里云安全组策略 80-开, 防火墙端口配置80 --开, apche服务器配置文件httpd.conf正常, vhost.conf虚拟域名模块也配置正常 ) 大吃一惊, 恐怕是发生了不得了的事情。

1、进程排查

使用top命令查看是否有异常进程, 发现开启了多达30个的httpd进程用户是www(也就是apche的conf文件配置的用户),
上阿里云控制台, 发现入网流量达到10K, cpu占用虽然只达到20%,但是带宽已经被撑爆了
针对进程查杀异常进程比较抽象,一般木马进程会伪装成内核进程来骗你, 所以不好判断。

2、端口查看

排查参考
使用端口检测工具, 检测服务器ip的端口, 发现80时开而时不开
怀疑是apache的问题
使用netstat -ano 80命令查看, 发现

针对某个ip一查, 来源地大部分是外国ip, 这些被抓的肉鸡, 受到某个黑客工作室的指挥, 或者某个新手黑客的练手一试, 就来攻击我们这个总访问量不超过10的网站????? 有仇吧大兄弟

3、ip屏蔽

针对DDOS的攻击没有什么好的解决方法, 只能试试ip屏蔽, 测一下该工作室的肉鸡池大还是我的手速快
由于是centos 6,开启防火墙 service iptables start(centos7是systemctl start firewalld)

1 关闭防火墙-----service iptables stop 
2 启动防火墙-----service iptables start 
3 重启防火墙-----service iptables restart 
4 查看防火墙状态--service iptables status 
5 永久关闭防火墙--chkconfig iptables off 
6 永久关闭后启用--chkconfig iptables on

开启屏蔽
在服务器上进行如下命令操作进行规则设置即可：
iptables -A INPUT -s ip段/网络位数 -j DROP

例如：禁止172.16.1.0/24网段访问服务器，直接在服务器上用命令就可以实现

iptables -A INPUT -s 172.16.1.0/24 -j DROP
(添加规则，所有来自这个网段的数据都丢弃)

/etc/rc.d/init.d/iptables save（保存规则）

service iptables restart（重启iptables服务以便生效）