[問題] 請問這是不是DOS攻擊? tonylo2ooo PTT批踢踢實業坊

[問題] 請問這是不是DOS攻擊?

作者: tonylo2ooo (Logo) 2016-05-16 22:13:50

大家好
想請問一下以下症狀是不是DOS攻擊
1. 提供的服務每天下午五點開始就會爆炸
周末的話是下午三點開始爆炸
用nload看會發現100M的流量幾乎被占滿了，
用netstat看會發現來幾個IP的連線數量少部分有 5~6個多的時候20個
來自西雅圖，但就算把那個ip給drop掉，流量還是被占滿
2. 用hinet pppoe 固定IP連線以太網路線一插上去馬上飆到100M/s
用隨機IP就沒事
3. 初步防護
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -p tcp

作者: chang505 (眼線) 2016-05-16 23:05:00

iftopntop

作者: Debian (Debian) 2016-05-17 01:32:00

開22 port？請問有開限定key登入嗎？

作者: tonylo2ooo (Logo) 2016-05-17 01:39:00

改port了，但22會被dos?還是來亂踹密碼也可攤瘓？

作者: chang505 (眼線) 2016-05-17 10:00:00

fail2ban

作者: tonylo2ooo (Logo) 2016-05-17 12:47:00

喔那個我有裝，我好奇的是我找不他怎塞100M/s的窗口，難到單純知道ssh的port也行嗎？

作者: wgst88w (清楚明「熙」) 2016-05-17 19:04:00

你固定IP是不是被當VPN跳板了？

作者: JackBaska (Baska) 2016-05-17 19:50:00

如果是樓上的情形,要注意有沒有localhost大於10000的port listen

作者: Debian (Debian) 2016-05-18 01:26:00

有時候不見得是dos，沒限定key pass被暴力破解植入後門後後門程式造成吃頻寬也是有可能發生的事情。

作者: asdfghjklasd (好累的大一生活) 2016-05-18 09:57:00

架私服?

作者: chang505 (眼線) 2016-05-18 23:02:00

後門會用奇怪的使用者執行正常的程式那就是執行偽裝起來的 process 了

繼續閱讀

[情報] Linux核心4.6新版出爐，Linus強調這次是deepdish [問題] 安裝Ubuntu的怪異畫面？dharma [問題] WIN7網芳和smbclient都會認證失敗LIAR [問題] Windows7+ESXi雙系統開機BelaTarr [問題] Rufus製作USB選哪個檔案系統？dharma [分享] 免驅動晶片讀卡機HamalAri [問題] 請推薦兩萬以下筆電connected [問題] 在Ubuntu14.4版安裝Snort的問題rex60209 [問題] USB to Ethernet Adaptertzeng03 [問題] 推薦的Cluster後台管理JackBaska