ฉันอยู่ภายใต้ DDoS ฉันควรทำอย่างไร


179

นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับ DoS และ DDoS

ฉันพบว่ามีทราฟฟิกจำนวนมากบนเว็บไซต์ที่ฉันโฮสต์ในวันนี้ ฉันได้รับการเชื่อมต่อหลายพันครั้งต่อวินาทีและฉันเห็นว่าฉันใช้แบนด์วิดท์ที่มีอยู่ทั้งหมด 100Mbps ไม่มีใครสามารถเข้าถึงเว็บไซต์ของฉันเพราะคำขอทั้งหมดหมดเวลาและฉันไม่สามารถเข้าสู่เซิร์ฟเวอร์ได้เพราะ SSH หมดเวลาเช่นกัน! เรื่องนี้เกิดขึ้นสองสามครั้งก่อนหน้าและแต่ละครั้งมันใช้เวลาสองสามชั่วโมงและหายไปเอง

บางครั้งเว็บไซต์ของฉันมีปัญหาที่แตกต่าง แต่มีความเกี่ยวข้อง: โหลดเฉลี่ยของเซิร์ฟเวอร์ของฉัน (ซึ่งมักจะอยู่ที่ประมาณ. 25) พุ่งสูงถึง 20 หรือมากกว่าและไม่มีใครสามารถเข้าถึงเว็บไซต์ของฉันได้เหมือนกับกรณีอื่น ๆ มันจะหายไปหลังจากนั้นไม่กี่ชั่วโมง

การรีสตาร์ทเซิร์ฟเวอร์ของฉันไม่ได้ช่วย ฉันจะทำอย่างไรเพื่อให้เว็บไซต์ของฉันสามารถเข้าถึงได้อีกครั้งและเกิดอะไรขึ้น

ที่เกี่ยวข้องฉันพบครั้งหนึ่งหรือสองวันทุกครั้งที่ฉันเริ่มให้บริการมันได้รับการเชื่อมต่อจากที่อยู่ IP เฉพาะจากนั้นจึงล้มเหลว ทันทีที่ฉันเริ่มมันอีกครั้งสิ่งนี้ก็เกิดขึ้นอีกครั้งและมันก็ล้มเหลวอีกครั้ง มันคล้ายกันอย่างไรและฉันจะทำอย่างไรกับมัน?


คำตอบ:


191

คุณกำลังประสบกับการปฏิเสธการโจมตีบริการ หากคุณเห็นทราฟฟิกที่มาจากหลายเครือข่าย (IP ที่แตกต่างกันในซับเน็ตต่างกัน) คุณจะได้รับการปฏิเสธการบริการแบบกระจาย (DDoS) ถ้ามันมาจากที่เดียวกันคุณมี DoS แบบธรรมดา มันจะมีประโยชน์ในการตรวจสอบถ้าคุณสามารถ; ใช้ netstat เพื่อตรวจสอบ แม้ว่ามันอาจเป็นเรื่องยากที่จะทำ

การปฏิเสธการให้บริการมักจะแบ่งออกเป็นสองประเภท: ตามปริมาณการใช้และปริมาณโหลด รายการสุดท้าย (พร้อมบริการขัดข้อง) เป็น DoS ที่ใช้ประโยชน์และแตกต่างกันมาก

หากคุณพยายามที่จะระบุประเภทของการโจมตีที่เกิดขึ้นคุณอาจต้องการจับภาพการรับส่งข้อมูลบางอย่าง (โดยใช้ wireshark, tcpdump หรือ libpcap) คุณควรถ้าเป็นไปได้ แต่ควรระวังด้วยว่าคุณอาจได้รับปริมาณการเข้าชมค่อนข้างมาก

ไม่บ่อยเท่าเหล่านี้จะมาจากบอตเน็ต (เครือข่ายของโฮสต์ที่ถูกบุกรุกภายใต้การควบคุมส่วนกลางของผู้โจมตีบางคนซึ่งการเสนอราคาจะทำ) นี่เป็นวิธีที่ดีสำหรับผู้โจมตีที่จะได้รับแบนด์วิธอัพสตรีมจำนวนมากจากโฮสต์ที่แตกต่างกันจำนวนมากบนเครือข่ายต่าง ๆ เพื่อโจมตีคุณในขณะที่ครอบคลุมเส้นทางของพวกเขา วงโคจรต่ำไอออนแคนนอนเป็นตัวอย่างหนึ่งของบ็อตเน็ต (ที่แม้จะเป็นความสมัครใจแทนของมัลแวร์ที่ได้มา); ซุสเป็นแบบอย่างที่มากกว่า

การจราจรตาม

หากคุณอยู่ภายใต้ DoS ที่อิงกับการรับส่งข้อมูลคุณจะพบว่ามีการรับส่งข้อมูลจำนวนมากที่มาถึงเซิร์ฟเวอร์ของคุณซึ่งการเชื่อมต่อกับอินเทอร์เน็ตนั้นอิ่มตัวอย่างสมบูรณ์ มีอัตราการสูญเสียแพ็คเก็ตสูงเมื่อส่งเซิร์ฟเวอร์ของคุณจากที่อื่นและ (ขึ้นอยู่กับวิธีการกำหนดเส้นทางที่ใช้) บางครั้งคุณก็เห็นว่าเวลาแฝงที่สูงมาก (ping สูง) การโจมตีแบบนี้มักจะเป็น DDoS

ในขณะที่การโจมตีนี้ "ดัง" จริง ๆ และชัดเจนว่าเกิดอะไรขึ้นมันเป็นเรื่องยากสำหรับผู้ดูแลระบบเซิร์ฟเวอร์ที่จะบรรเทา (และเป็นไปไม่ได้โดยทั่วไปสำหรับผู้ใช้ที่ใช้พื้นที่การแชร์เพื่อลด) คุณจะต้องการความช่วยเหลือจาก ISP ของคุณ บอกให้พวกเขารู้ว่าคุณอยู่ภายใต้ DDoS และพวกเขาอาจช่วยได้

อย่างไรก็ตาม ISP และผู้ให้บริการขนส่งส่วนใหญ่จะทราบล่วงหน้าว่าเกิดอะไรขึ้นและเผยแพร่เส้นทาง Blackholeสำหรับเซิร์ฟเวอร์ของคุณ สิ่งนี้หมายความว่าพวกเขาเผยแพร่เส้นทางไปยังเซิร์ฟเวอร์ของคุณด้วยค่าใช้จ่ายน้อยที่สุดเท่าที่จะเป็นไปได้ผ่าน0.0.0.0: พวกเขาทำให้ปริมาณการใช้งานไปยังเซิร์ฟเวอร์ของคุณไม่สามารถกำหนดเส้นทางได้บนอินเทอร์เน็ตอีกต่อไป เส้นทางเหล่านี้มักจะเป็น / 32s และในที่สุดพวกเขาจะถูกลบออก มันไม่ได้ช่วยอะไรคุณเลย วัตถุประสงค์คือเพื่อป้องกันเครือข่ายของ ISP จากน้ำท่วม ในช่วงเวลาที่เซิร์ฟเวอร์ของคุณจะสูญเสียการเข้าถึงอินเทอร์เน็ตอย่างมีประสิทธิภาพ

วิธีเดียวที่ ISP ของคุณ (หรือคุณมี AS ของคุณเอง) จะสามารถช่วยได้หากพวกเขาใช้ shapers การจราจรอัจฉริยะที่สามารถตรวจจับและ จำกัด ปริมาณการใช้ DDoS ที่เป็นไปได้ ไม่ใช่ทุกคนที่มีเทคโนโลยีนี้ อย่างไรก็ตามหากการรับส่งข้อมูลมาจากหนึ่งหรือสองเครือข่ายหรือหนึ่งโฮสต์พวกเขาอาจสามารถปิดกั้นการรับส่งข้อมูลล่วงหน้าได้

กล่าวโดยย่อมีน้อยมากที่คุณสามารถแก้ไขปัญหานี้ได้ ทางออกระยะยาวที่ดีที่สุดคือการโฮสต์บริการของคุณในหลาย ๆ สถานที่บนอินเทอร์เน็ตซึ่งจะต้องมี DDoSed แยกต่างหากและพร้อมกันทำให้ DDoS มีราคาแพงกว่ามาก กลยุทธ์สำหรับสิ่งนี้ขึ้นอยู่กับบริการที่คุณต้องการปกป้อง DNS สามารถป้องกันด้วยเนมเซิร์ฟเวอร์ที่เชื่อถือได้หลายตัว, SMTP พร้อมเรคคอร์ด MX สำรองและตัวแลกเปลี่ยนเมลและ HTTP ที่มี DNS แบบโรบินรอบหรือมัลติแฮงค์ (แต่การย่อยสลายบางอย่างอาจสังเกตได้ในช่วงเวลานั้น

โหลดบาลานเซอร์เป็นวิธีแก้ปัญหาที่ไม่ค่อยมีประสิทธิภาพสำหรับปัญหานี้เพราะบาลานเซอร์โหลดเองนั้นขึ้นอยู่กับปัญหาเดียวกันและสร้างคอขวดเพียงอย่างเดียว IPTables หรือกฎไฟร์วอลล์อื่น ๆจะไม่ช่วยเพราะปัญหาคือว่าไปป์ของคุณอิ่มตัว เมื่อการเชื่อมต่อจะเห็นโดยไฟร์วอลล์ของคุณก็สายเกินไปแล้ว ; แบนด์วิดท์ในไซต์ของคุณถูกใช้ไปแล้ว ไม่สำคัญว่าคุณทำอะไรกับการเชื่อมต่อ การโจมตีจะลดลงหรือสิ้นสุดลงเมื่อปริมาณการรับส่งข้อมูลที่เข้ามากลับสู่ปกติ

หากคุณสามารถทำได้ให้ลองใช้เครือข่ายการกระจายเนื้อหา (CDN) เช่น Akamai, Limelight และ CDN77 หรือใช้บริการขัดถู DDoS เช่น CloudFlare หรือ Prolexic บริการเหล่านี้ใช้มาตรการที่ใช้งานเพื่อลดการโจมตีประเภทนี้และยังมีแบนด์วิดท์ที่มีอยู่มากมายในสถานที่ต่าง ๆ มากมายที่น้ำท่วมพวกเขาโดยทั่วไปไม่เป็นไปได้

หากคุณตัดสินใจที่จะใช้ CloudFlare (หรือ CDN / พร็อกซีอื่น ๆ ) อย่าลืมซ่อน IP ของเซิร์ฟเวอร์ของคุณ หากผู้โจมตีค้นพบ IP เขาสามารถ DDoS เซิร์ฟเวอร์ของคุณอีกครั้งโดยตรงผ่าน CloudFlare หากต้องการซ่อน IP เซิร์ฟเวอร์ของคุณไม่ควรสื่อสารโดยตรงกับเซิร์ฟเวอร์ / ผู้ใช้รายอื่นเว้นแต่ว่าปลอดภัย ตัวอย่างเช่นเซิร์ฟเวอร์ของคุณไม่ควรส่งอีเมลถึงผู้ใช้โดยตรง สิ่งนี้ใช้ไม่ได้หากคุณโฮสต์เนื้อหาทั้งหมดของคุณใน CDN และไม่มีเซิร์ฟเวอร์ของคุณเอง

นอกจากนี้ VPS และผู้ให้บริการโฮสติ้งบางรายยังสามารถลดการโจมตีเหล่านี้ได้ดีกว่าผู้อื่น โดยทั่วไปยิ่งมีขนาดใหญ่เท่าใดก็ยิ่งดีเท่านั้น ผู้ให้บริการที่ได้รับการตอบรับเป็นอย่างดีและมีแบนด์วิดท์จำนวนมากจะมีความยืดหยุ่นมากขึ้นตามธรรมชาติและผู้ให้บริการรายหนึ่งที่มีทีมงานปฏิบัติการเครือข่ายที่มีความกระตือรือร้นและพร้อมที่จะตอบสนองได้เร็วขึ้น

โหลดตาม

เมื่อคุณประสบกับ DDoS ที่ขึ้นอยู่กับการโหลดคุณสังเกตเห็นว่าค่าเฉลี่ยการโหลดสูงผิดปกติ (หรือการใช้งาน CPU, RAM หรือดิสก์ขึ้นอยู่กับแพลตฟอร์มและข้อมูลเฉพาะของคุณ) แม้ว่าเซิร์ฟเวอร์จะไม่ทำสิ่งใดที่มีประโยชน์ แต่ก็ยุ่งมาก บ่อยครั้งที่จะมีรายการจำนวนมากในบันทึกที่แสดงถึงสภาวะผิดปกติ บ่อยกว่านี้มาจากสถานที่ต่าง ๆ มากมายและเป็น DDoS แต่นั่นไม่ใช่กรณี ไม่จำเป็นต้องมีโฮสต์ที่แตกต่างกันมากมาย

การโจมตีนี้ขึ้นอยู่กับการให้บริการของคุณทำสิ่งที่มีราคาแพงมาก นี่อาจเป็นสิ่งที่ต้องการเปิดการเชื่อมต่อ TCP จำนวนมากและบังคับให้คุณรักษาสถานะไว้สำหรับพวกเขาหรืออัปโหลดไฟล์ขนาดใหญ่หรือไฟล์จำนวนมากไปยังบริการของคุณหรืออาจทำการค้นหาที่มีราคาแพงมากหรือทำสิ่งที่มีราคาแพง การจราจรภายในขอบเขตของสิ่งที่คุณวางแผนและสามารถใช้ใน แต่ประเภทของการร้องขอการทำมีราคาแพงเกินไปที่จะจัดการจำนวนมากดังนั้นของ

ประการแรกการโจมตีประเภทนี้เป็นไปได้มักจะบ่งบอกถึงปัญหาการกำหนดค่าหรือข้อบกพร่องในการบริการของคุณ ตัวอย่างเช่นคุณอาจเปิดใช้งานการบันทึก verbose มากเกินไปและอาจจัดเก็บบันทึกในบางสิ่งที่เขียนได้ช้ามาก หากมีคนตระหนักถึงสิ่งนี้และทำสิ่งต่างๆมากมายซึ่งเป็นสาเหตุให้คุณเขียนบันทึกจำนวนมหาศาลบนดิสก์เซิร์ฟเวอร์ของคุณจะช้าในการรวบรวมข้อมูล ซอฟต์แวร์ของคุณอาจกำลังทำบางสิ่งบางอย่างที่ไม่มีประสิทธิภาพอย่างยิ่งสำหรับกรณีที่ป้อนข้อมูลบางอย่าง สาเหตุมีมากมายตามที่มีโปรแกรม แต่สองตัวอย่างจะเป็นสถานการณ์ที่ทำให้บริการของคุณไม่ปิดเซสชันที่เสร็จสิ้นเป็นอย่างอื่นและสถานการณ์ที่ทำให้เกิดการวางกระบวนการลูกและทิ้งไว้ หากคุณจบลงด้วยการเชื่อมต่อแบบเปิดที่มีสถานะเป็นหมื่นเพื่อติดตามหรือกระบวนการลูกที่มีอยู่เป็นหมื่นคุณจะพบปัญหา

สิ่งแรกที่คุณอาจจะสามารถที่จะทำคือการใช้ไฟร์วอลล์จะลดลงการจราจร นี่เป็นไปไม่ได้เสมอไป แต่ถ้ามีคุณลักษณะที่คุณสามารถค้นหาได้ในทราฟฟิกขาเข้า (tcpdump สามารถทำได้ดีสำหรับสิ่งนี้หากทราฟฟิกอ่อน) คุณสามารถวางมันไว้ที่ไฟร์วอลล์และมันจะไม่ทำให้เกิดปัญหาอีกต่อไป อีกสิ่งที่ต้องทำคือแก้ไขข้อบกพร่องในบริการของคุณ (ติดต่อผู้ขายและเตรียมพร้อมสำหรับการสนับสนุนที่ยาวนาน)

แต่ถ้าหากมันเป็นปัญหาการกำหนดค่าเริ่มต้นมี ปิดการบันทึกในระบบการผลิตให้อยู่ในระดับที่เหมาะสม (ขึ้นอยู่กับโปรแกรมซึ่งโดยปกติจะเป็นค่าเริ่มต้นและมักจะเกี่ยวข้องกับการตรวจสอบให้แน่ใจว่า "debug" และ "verbose" ระดับการบันทึกถูกปิดหากทุกอย่างที่ผู้ใช้ทำถูกต้อง รายละเอียดที่ดีการบันทึกของคุณนั้นละเอียดเกินไป) นอกจากนี้ตรวจสอบกระบวนการเด็กและขอข้อ จำกัดอาจเค้นร้องขอเข้ามาเชื่อมต่อต่อ IP และจำนวนของกระบวนการที่เด็กที่ได้รับอนุญาตตามความเหมาะสม

มันไปโดยไม่บอกว่าการกำหนดค่าที่ดีขึ้นและการจัดสรรเซิร์ฟเวอร์ของคุณให้ดีขึ้นคือการโจมตีประเภทนี้จะยากขึ้น หลีกเลี่ยงการตระหนี่กับ RAM และ CPU โดยเฉพาะ ตรวจสอบให้แน่ใจว่าการเชื่อมต่อของคุณกับสิ่งต่าง ๆ เช่นฐานข้อมูลแบ็กเอนด์และที่เก็บดิสก์นั้นรวดเร็วและเชื่อถือได้

ใช้ประโยชน์ตาม

หากบริการของคุณเกิดปัญหาอย่างรวดเร็วอย่างรวดเร็วหลังจากที่ถูกนำขึ้นมาโดยเฉพาะอย่างยิ่งถ้าคุณสามารถกำหนดรูปแบบของคำขอที่นำหน้าข้อผิดพลาดและคำขอนั้นผิดปกติหรือไม่ตรงกับรูปแบบการใช้ที่คาดไว้คุณอาจประสบกับ DoS สิ่งนี้สามารถมาจากโฮสต์เพียงไม่กี่โฮสต์ (มีการเชื่อมต่ออินเทอร์เน็ตทุกประเภท) หรือโฮสต์จำนวนมาก

สิ่งนี้คล้ายกับ DoS ที่อ้างอิงกับโหลดในหลายประการและมีสาเหตุและการบรรเทาแบบเดียวกัน ข้อแตกต่างก็คือในกรณีนี้ข้อผิดพลาดไม่ทำให้เซิร์ฟเวอร์ของคุณสิ้นเปลือง แต่จะตาย ผู้โจมตีมักโจมตีช่องโหว่ความผิดพลาดจากระยะไกลเช่นอินพุตที่อ่านไม่ออกซึ่งทำให้เกิดช่องโหว่หรือสิ่งใด ๆ ในบริการของคุณ

จัดการสิ่งนี้ในลักษณะเดียวกันกับการโจมตีจากระยะไกลที่ไม่ได้รับอนุญาต ไฟร์วอลล์กับโฮสต์ที่มาและประเภทของการรับส่งหากสามารถตรึงไว้ได้ ใช้การตรวจสอบพร็อกซีย้อนกลับถ้ามี รวบรวมหลักฐานทางนิติวิทยาศาสตร์ (ลองจับการจราจรบางส่วน) ยื่นตั๋วบั๊กกับผู้ขายและพิจารณายื่นเรื่องร้องเรียนการละเมิด (หรือการร้องเรียนทางกฎหมาย) กับต้นกำเนิดด้วย

การโจมตีเหล่านี้ค่อนข้างถูกถ้าหากมีการหาช่องโหว่และสามารถโจมตีได้ แต่ก็ค่อนข้างง่ายที่จะติดตามและหยุด อย่างไรก็ตามเทคนิคที่มีประโยชน์ต่อ DDoS ที่อิงกับการจราจรนั้นโดยทั่วไปแล้วจะไม่มีประโยชน์อะไรกับ DoS-based exploit


1
เกี่ยวกับย่อหน้าสุดท้ายของคุณและจะเกิดอะไรขึ้นถ้าคุณได้รับประโยชน์จากD DoS คุณติดตามและหยุดมันได้อย่างไร
Pacerier

8

หากคุณเป็นองค์กรคุณมีตัวเลือกมากมาย หากคุณเป็นคนตัวเล็กอย่างฉันการเช่า VPS หรือเซิร์ฟเวอร์เฉพาะเพื่อให้บริการเว็บไซต์ขนาดเล็กค่าใช้จ่ายอาจกลายเป็นสิ่งต้องห้ามอย่างรวดเร็ว

จากประสบการณ์ของฉันฉันเชื่อว่าส่วนใหญ่ทุ่มเทและผู้ให้บริการ VPS จะไม่ตั้งค่ากฎไฟร์วอลล์พิเศษเฉพาะสำหรับเซิร์ฟเวอร์ของคุณ แต่ทุกวันนี้คุณมีตัวเลือกน้อย

CDN

หากคุณใช้งานเว็บเซิร์ฟเวอร์ให้ลองวางไว้ด้านหลัง CDN เช่น CloudFlare หรือ Amazon CloudFront

CDNs มีราคาแพง ในการควบคุมต้นทุนให้บริการไฟล์ขนาดใหญ่ (ภาพขนาดใหญ่เสียงวิดีโอ) โดยตรงจากเซิร์ฟเวอร์ของคุณแทนที่จะเป็นผ่าน CDN อย่างไรก็ตามสิ่งนี้อาจทำให้ที่อยู่ IP ของเซิร์ฟเวอร์ของคุณถูกโจมตีได้

คลาวด์ส่วนตัว

คลาวด์ส่วนตัวมักเป็นโซลูชันระดับองค์กรที่มีราคาแพง แต่ Amazon VPC มีค่าใช้จ่ายถัดจากการตั้งค่าใด ๆ อย่างไรก็ตามแบนด์วิดท์ของ Amazon โดยทั่วไปมีราคาแพง หากคุณสามารถซื้อได้คุณสามารถตั้งค่า Security Group และ Network ACL ของ Amazon VPC เพื่อบล็อกทราฟฟิกก่อนที่มันจะมาถึงอินสแตนซ์ของคุณ คุณควรบล็อกพอร์ตทั้งหมดยกเว้นพอร์ตเซิร์ฟเวอร์ TCP ของคุณ

หมายเหตุผู้โจมตียังสามารถโจมตีพอร์ตเซิร์ฟเวอร์ TCP ของคุณได้ หากเป็นเว็บเซิร์ฟเวอร์ให้พิจารณาใช้สิ่งต่าง ๆ เช่น nginx ที่ใช้การไม่บล็อก IO และสามารถจัดการการเชื่อมต่อจำนวนมากได้ นอกเหนือจากนั้นมีไม่มากที่คุณสามารถทำได้นอกจากให้แน่ใจว่าคุณใช้ซอฟต์แวร์เซิร์ฟเวอร์เวอร์ชันล่าสุด

เมื่อพอร์ต TCP ของคุณถูกโจมตีและอื่น ๆ ทั้งหมดล้มเหลว

นี่เป็นโซลูชันที่ฉันพัฒนาขึ้นซึ่งนำไปใช้กับเซิร์ฟเวอร์ที่ไม่ใช่เว็บที่ไม่สามารถซ่อนอยู่หลัง CDN เช่น WebSocket เซิร์ฟเวอร์เนื้อหา / เซิร์ฟเวอร์สตรีมมิ่ง CloudFlare รองรับ WebSocket แต่สำหรับองค์กรในขณะนี้เท่านั้น

เป้าหมายคือเปลี่ยนพอร์ตการรับฟัง TCP ของคุณอย่างรวดเร็วพอที่ botnet จะไม่สามารถบอกได้ทุกๆ 10 วินาที สิ่งนี้สามารถทำได้โดยใช้โปรแกรมพร็อกซี่อย่างง่ายที่ดำเนินการโรมมิ่งพอร์ต ลำดับของพอร์ตคือการสุ่มหลอก แต่ต้องขึ้นอยู่กับเวลาของเซิร์ฟเวอร์ และอัลกอริทึมสำหรับการคำนวณเวลาและพอร์ตของเซิร์ฟเวอร์จะต้องซ่อนอยู่ในรหัส javascript / flash ของลูกค้าของคุณ โปรแกรมควรปรับเปลี่ยนไฟร์วอลล์เมื่อเปลี่ยนพอร์ตการรับฟังและไฟร์วอลล์จะต้องเป็นสถานะ หากมีคนสนใจฉันจะอัปโหลดสคริปต์ node.js ของฉันที่ทำงานกับ Amazon ไปยัง GitHub


4

เปลี่ยนโดเมนของคุณเพื่อไปที่หลุมดำเช่น 0.0.0.0 ในช่วงเวลาสั้น ๆ

พูดคุยกับเซิร์ฟเวอร์ของคุณและดูว่าพวกเขาสามารถออก IP แอดเดรสอื่นให้คุณเป็นวิธีชั่วคราวในการเข้าถึงเซิร์ฟเวอร์หรือดูว่าเซิร์ฟเวอร์มีการเข้าถึงคอนโซลระยะไกลหรือไม่ (เช่นที่คุณกำลังนั่งอยู่ข้างหน้า) จากที่นี่คุณสามารถดูว่ามันเป็นที่อยู่ IP เดียวและปิดกั้นจากเว็บไซต์หรือการโจมตีแบบกระจาย


3
การเปลี่ยน DNS เช่นนั้นน่าจะเป็นอันตรายมากกว่าดี ในตอนแรกฉันจะลด TTL ของระเบียน A แต่ไม่เปลี่ยนแปลงที่อยู่ IP - จนกว่าฉันจะมี IP ใหม่ให้ชี้ไปที่
kasperd

1

เมื่อคุณอยู่ภายใต้ DDoS โจมตี ISP ของคุณจะสามารถช่วยคุณได้มากที่สุด แต่หากพวกเขาไม่มีการป้องกัน DDoS ก็มีโอกาสมากที่คุณจะไม่ได้ใช้บริการจนกว่าการโจมตีจะหยุดลง โดยปกติแล้วพวกเขาจะเห็นที่อยู่ IP ที่ถูกโจมตีและทำลายเครือข่ายในเราเตอร์อัปสตรีม หากคุณไม่มีทราฟฟิกจำนวนมากมีบริการออนไลน์มากมายสำหรับการป้องกัน DDoS ที่ทราฟฟิกของคุณถูกเปลี่ยนเส้นทางกรองและส่งกลับไปยังเซิร์ฟเวอร์ของคุณ


-1

เรามีสถานการณ์ที่คล้ายกันมาก่อน ด้านล่างคือสิ่งที่เราทำ

ก่อนอื่นให้เสียบสายเครือข่ายจากเซิร์ฟเวอร์ของคุณ ตอนนี้ตรวจสอบว่าบริการเซิร์ฟเวอร์ของคุณกลับมาเป็นปกติโดยดูที่การตรวจสอบประสิทธิภาพและตัวจัดการงาน หากไม่เป็นเช่นนั้นให้สแกนเซิร์ฟเวอร์ของคุณด้วยซอฟต์แวร์ Malwarebytes เพื่อให้แน่ใจว่าเซิร์ฟเวอร์ของคุณสะอาด โดยปกติขั้นตอนนี้จะทำให้แน่ใจว่าเซิร์ฟเวอร์ที่ถูกตัดการเชื่อมต่อของคุณกลับมาเป็นปกติอีกครั้ง

ถัดไปคุณมีไฟร์วอลล์อยู่หรือไม่? ถ้าใช่คุณต่ออายุการสมัครหรือไม่ ตรวจสอบให้แน่ใจว่าคุณเปิดใช้งานคุณสมบัติการบุกรุก IPS ในไฟร์วอลล์ เพียงแค่ต่ออายุการสมัครสมาชิกไฟร์วอลล์ก็สามารถแก้ไขการโจมตี DDOS ของเราได้

เราเรียนรู้ว่าเราควรต่ออายุการรักษาความปลอดภัยการสมัครสมาชิก (เช่น firwall หรือโปรแกรมป้องกันไวรัส) และไม่ควรทำอย่างเบามือ การโจมตี DDOS เกิดขึ้นทุกวันและสามารถเกิดขึ้นกับธุรกิจขนาดเล็กได้เช่นกัน หวังว่านี่จะช่วยได้

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.