系统被SYN_RECV攻击,不求解决方法,只求找到原因
今天晚上,第三方监控网站发来邮件提醒,说服务器无法连接,立即ssh上去,卡得要死。
netstat一看,基本上很多如下:
tcp 0 0 1.2.3.4:80 61.130.51.186:63121 SYN_RECV -
tcp 0 0 1.2.3.4:80 218.25.197.162:27626 SYN_RECV -
tcp 0 0 1.2.3.4:80 222.78.251.82:2186 SYN_RECV -
tcp 0 0 1.2.3.4:80 60.190.0.30:2174 SYN_RECV -
tcp 0 0 1.2.3.4:80 118.254.9.13:1629 SYN_RECV -
tcp 0 0 1.2.3.4:80 218.90.220.174:2289 SYN_RECV -
tcp 0 0 1.2.3.4:80 121.13.225.58:1089 SYN_RECV -
tcp 0 0 1.2.3.4:80 59.56.178.213:4218 SYN_RECV -
tcp 0 0 1.2.3.4:80 112.112.4.66:2116 SYN_RECV -
tcp 0 0 1.2.3.4:80 113.108.184.202:3301 SYN_RECV -
tcp 0 0 1.2.3.4:80 113.108.109.28:4941 SYN_RECV -
tcp 0 0 1.2.3.4:80 220.179.92.143:11717 SYN_RECV -
一看就知道是被攻击了
我现在也不求解决方法,只求找到被攻击的原因。
因为这台机器上面安装了apache,只放了一个网站的源码,没有绑定任何域名,但是我将很多域名指向了这台服务器的ip,所以只要是解析过来的域名,都可以用域名直接打开网站。
这样说可能有人不明白,例如我这台服务器的IP是:1.2.3.4
我将aaa.com解析到1.2.3.4
我将bbb.com解析到1.2.3.4
但是apache虽然没有绑定这两个域名,但是因为解析过来了,可以用域名直接访问网站。因为我这个站,可以直接用独立ip访问,所以可以这样操作的。
现在被攻击的原因应该是其中某个站被人盯上了,但是我不知道具体是哪个站,有什么办法可以查出来吗?
apache的日志文件只能查看访问的ip,无法知道是通过哪个解析域名过来的
而且apache的日志都这样了:
112.98.98.113 - - [31/May/2011:17:28:24 +0400] "\xc1\xc1\xc1\xc1\xc1\xc1\xc1\xc1\xc1\xc1\xc1\xc1" 414 250
58.214.244.202 - - [31/May/2011:17:28:39 +0400] "\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\" 414 250
[解决办法]
没有防火墙挡一档吗
[解决办法]
我的机子也是
同问
[解决办法]
抓包 然后分析 就能清楚了 http协议上有写
[解决办法]
还有lz你的应该是ddos的,没有根本的办法来解决问题的,因为是多个攻击源,最好的方法就是优化服务器性能,尝试把同时连接数增大,缩短链接时间,
其实最好的方法应该是把web挺掉。。
[解决办法]
不懂。。
被攻击真是一件另人不爽的事儿。。
[解决办法]
给LZ推荐人家一个服务器管理员写的东西--《功能强大的防DDoS攻击脚本》:http://security.zdnet.com.cn/security_zone/2011/0604/2039915.shtml
还有,我觉的LZ至少应该设置一下iptables吧?
[解决办法]
还有这个--《iptables 防DDoS攻击脚本》:http://hi.baidu.com/sing520/blog/item/e6527a593884272f2934f043.html
DDoS虽不能彻底防范,但稍做一些措施总是没坏处的嘛
[解决办法]
那些玩意吃饱了撑的吗,不懂那些蛋疼的人想干嘛?
攻击别人有好处吗?谁能解释下
[解决办法]
