大家好
想請問一下以下症狀是不是DOS攻擊
1. 提供的服務每天下午五點開始就會爆炸
周末的話是下午三點開始爆炸
用nload看會發現100M的流量幾乎被占滿了,
用netstat看會發現來幾個IP的連線數量少部分有 5~6個 多的時候20個
來自西雅圖,但就算把那個ip給drop掉,流量還是被占滿
2. 用hinet pppoe 固定IP連線 以太網路線一插上去馬上飆到100M/s
用隨機IP就沒事
3. 初步防護
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -p tcp
作者:
Debian (Debian)
2016-05-17 01:32:00開22 port?請問有開限定key登入嗎?
改port了,但22會被dos?還是來亂踹密碼也可攤瘓?
喔那個我有裝,我好奇的是我找不他怎塞100M/s的窗口,難到單純知道ssh的port也行嗎?
作者:
wgst88w (清楚明「熙」)
2016-05-17 19:04:00你固定IP是不是被當VPN跳板了?
如果是樓上的情形,要注意有沒有localhost大於10000的port listen
作者:
Debian (Debian)
2016-05-18 01:26:00有時候不見得是dos,沒限定key pass被暴力破解植入後門後後門程式造成吃頻寬也是有可能發生的事情。
後門會用奇怪的使用者執行正常的程式那就是執行偽裝起來的 process 了