linux - 了解 netstat 列表并防止 DDOS

Question

我的服务器被攻击了!

当我使用 netstat -anp | grep:80 我得到以下 list :

tcp        0      0 162.167.98.11:80        5.189.156.224:58211     SYN_RECV    -
tcp        0      0 162.167.98.11:80        5.189.156.224:39608     SYN_RECV    -
tcp        0      0 162.167.98.11:80        5.189.156.224:33261     SYN_RECV    -
tcp        0      0 162.167.98.11:80        5.189.156.224:56951     SYN_RECV    -

这样有几十行。

请帮助我理解此列表以及如何保护服务器免受发出大量请求的 IP 的影响。我正在使用针对 DDOS 攻击配置的 fail2ban，但看起来我遗漏了一些东西。

服务器是运行Ubuntu 12.04的虚拟机

Answer 1

Fail2ban 只会对生成某种错误的客户端使用react。

这可能是 Slowloris攻击。它的工作原理是打开一个连接，并通过不断向请求中添加内容来尝试尽可能长时间地保持打开状态。然后打开其他此类连接并保持打开状态。

因此可能的解决方案是限制每个客户端的打开连接数。

这可以直接使用 iptables 完成，如前所述 here或者通过使用适当的 apache 模块(如果这是您的网络服务器的话)。

一个明确为此目的而设计的是 mod_antiloris ，另一个更可配置的是 mod_qos .