当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 6 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : 服务器貌似受到UDP FLOOD攻击,大家给看看。
帖子发表于 : 2010-03-30 18:51 
头像

注册: 2005-08-02 18:04
帖子: 190
地址: Lanzhou
送出感谢: 0 次
接收感谢: 0 次
服务器版本
引用:
Distributor ID: Ubuntu
Description: Ubuntu 8.04.4 LTS
Release: 8.04
Codename: hardy
Kernel: 2.6.24-27-server


用dmesg看到很多udp checksum error的错误。如下

代码:
[32437.881001] UDP: bad checksum. From 121.27.205.1:13223 to 61.178.231.X:13803 ulen 1056
[32437.944654] UDP: bad checksum. From 121.27.205.1:13223 to 61.178.231.X:13803 ulen 1056
[32441.155480] UDP: bad checksum. From 121.27.205.1:13223 to 61.178.231.X:13803 ulen 1056
[32446.515058] UDP: bad checksum. From 116.208.196.109:20220 to 61.178.231.X:11662 ulen 116
[32581.577348] UDP: bad checksum. From 58.44.246.205:13980 to 61.178.231.X:13876 ulen 1056
[32682.521452] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32682.662707] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32682.709034] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32685.975322] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32688.112755] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32694.100693] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32697.314187] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32697.357757] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32697.403166] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32697.410709] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32700.153897] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32703.182395] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32707.517785] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32710.203817] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32712.288750] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32715.456915] printk: 1 messages suppressed.
[32715.456923] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32717.684547] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32723.645794] printk: 4 messages suppressed.
[32723.645801] UDP: bad checksum. From 58.50.13.216:13564 to 61.178.231.X:13617 ulen 1056
[32878.711360] UDP: bad checksum. From 114.149.251.142:13343 to 61.178.231.X:13320 ulen 1056
[33139.195948] UDP: bad checksum. From 117.42.156.183:15000 to 61.178.231.X:15000 ulen 1445
[33139.253567] UDP: bad checksum. From 117.42.156.183:15000 to 61.178.231.X:15000 ulen 1446
[33144.802990] UDP: bad checksum. From 117.42.156.183:15000 to 61.178.231.X:15000 ulen 1448
[33565.451681] UDP: bad checksum. From 113.137.240.225:1863 to 61.178.231.X:9099 ulen 1060
[33582.986148] UDP: bad checksum. From 113.137.240.225:1863 to 61.178.231.X:9099 ulen 1060
[33772.105596] UDP: bad checksum. From 114.237.123.7:2447 to 61.178.231.X:1731 ulen 21
[33892.254780] UDP: bad checksum. From 222.243.35.18:53126 to 61.178.231.X:12403 ulen 132


为了防止DDOS攻击,我在/etc/sysctl.conf加入了如下内容。

代码:
net.ipv4.netfilter.ip_conntrack_max = 98000
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 30
net.ipv4.tcp_keepalive_time = 10
#
net.ipv4.tcp_syncookies= 1
net.ipv4.tcp_fin_timeout=2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.ip_local_port_range=102465000
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2


/proc/net/ip_conntrack 的计数如下:

代码:
$ sudo wc -l /proc/net/ip_conntrack
13109 /proc/net/ip_conntrack


请问各位朋友,出现这种问题,是什么原因?如何应对?服务器有运行IPTABLES。


_________________
Jonathan Swift - "May you live every day of your life."


页首
 用户资料  
 
2 楼 
 文章标题 : Re: 服务器貌似受到UDP FLOOD攻击,大家给看看。
帖子发表于 : 2010-04-07 18:28 
头像

注册: 2008-10-18 12:41
帖子: 1339
送出感谢: 0 次
接收感谢: 0 次
判断


代码:
netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort



针对端口攻击,把端口改为8080,再重启一下web服务
改一下IP或域名绑定


_________________
Server@Linux:~#


页首
 用户资料  
 
3 楼 
 文章标题 : Re: 服务器貌似受到UDP FLOOD攻击,大家给看看。
帖子发表于 : 2010-04-08 1:29 
头像

注册: 2005-08-02 18:04
帖子: 190
地址: Lanzhou
送出感谢: 0 次
接收感谢: 0 次
谢谢。


_________________
Jonathan Swift - "May you live every day of your life."


页首
 用户资料  
 
4 楼 
 文章标题 : Re: 服务器貌似受到UDP FLOOD攻击,大家给看看。
帖子发表于 : 2010-06-07 16:58 

注册: 2008-04-15 15:21
帖子: 6
送出感谢: 0 次
接收感谢: 0 次
没有硬防就头痛咯..

不知有什么方法能过滤些数据包


页首
 用户资料  
 
5 楼 
 文章标题 : Re: 服务器貌似受到UDP FLOOD攻击,大家给看看。
帖子发表于 : 2010-06-07 17:16 
头像

注册: 2008-03-25 15:49
帖子: 25877
地址: 谁知道?
送出感谢: 8
接收感谢: 10
进来学习


页首
 用户资料  
 
6 楼 
 文章标题 : Re: 服务器貌似受到UDP FLOOD攻击,大家给看看。
帖子发表于 : 2010-06-25 23:37 

注册: 2005-06-21 12:34
帖子: 23
送出感谢: 0 次
接收感谢: 0 次
cant't find you by ping


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 6 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译