记一次DDOS攻击定位及解决

原创 已于 2025-04-27 11:56:41 修改 · 309 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ddos

于 2025-04-27 11:11:58 首次发布

背景:

        公司有台服务器近来产生了异常流出数据,共计300个G,因此产生了流量费用, 阿里云服务器有一种流量计费方式为按照流量计费,0.8元每G,   通过阿里云监控,排查出是因为出口流量费用导致,

通过https://billing-cost.console.aliyun.com/finance/expense-report/expense-detail-by-instance?BillingCycle=2025-04&StatisticItem=DEFAULT_CHARGE_ITEM&StatisticCycle=DAILY

地址来查看所有消费明细后,发现是出口流量产生的费用, 服务器只部署了一个web网页,nginx日志显示整个四月份有一天集中被同一个公网IP访问了几万次,明显属于恶意访问;

查看命令如下:

awk '{print $1}' nginx-access.log | sort | uniq -c | sort -nr | head -n 50 | more

命令是查询nginx-access.log 日志文件 按照第一列(即IP地址)进行访问次数排序,取排序后前50个IP地址寄访问次数;

grep '\[.*Apr/2025:.*\]' nginx-access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 50 | more

查看四月份所有访问流量;

解决方案:

        1.在nginx层做访问频次限制:

        nginx.conf文件的http节点下 新增配置:

        limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

        在对应的location访问控制块内配置  limit_req zone=one burst=5 nodelay; 

        2. 在http节点下新增如下配置:对哪些ip进行拒绝访问控制,将要拒绝的IP地址列到列表里。

            geo $allowed {
                default 0;
                110.80.135.11 1;
                120.244.158.57 1;     
            }

           然后在具体的location块中加上如下代码:

                    if ($allowed = 1) {
                        return 403;
                    }

或者将云服务器的流量套餐更换了,目前是按流量计费,适合访问比较固定,且没有恶意攻击的, 如果访问量大,建议换成固定宽带,按照 1Mb = 128kb的固定宽带和上行、下行实际速率比进行计算适合自己服务器流量的宽带。

feng_201
关注
查找内网DDOS***源的方法
weixin_34401479的博客
04-12 695
查找内网DDOS***源的方法(适用ROS软路由) 使用WINBOX进入ROS路由设置,可以通过SYSTEM-RESOURCES查看当前路由器的CPU资源状况,正常情况下应保持在0%-10%之间。一旦内网中出现CPU资源占用达50%以上说明内网一定存在***源或病毒, 此时应立即查看IP-FIREWALL-CONNECTIONS中的连接情况,可以通过二种排序方...
如何识别DDoS攻击的早期特征?
2501_90410679的博客
04-26 146
同时,加强网络安全防护、定期进行安全审计和学习防范知识也是防范DDoS攻击的重要措施。DDoS攻击是一种通过大量数据包快速、大量地发送到目标服务器或网络,以消耗其资源、阻止其正常服务的方式进行的网络攻击DDoS攻击的常见类型包括分布式拒绝服务攻击DDoS)、源IP欺骗攻击等。4. 持续性的攻击行为:DDoS攻击往往具有持续性,即使服务器暂时恢复正常运行,攻击者仍然会继续发送数据包进行攻击。因此,观察和分析攻击者的行为模式也是识别DDoS攻击的重要手段。流量异常增长是识别DDoS攻击的重要特征之一。
速盾:如何查找ddos攻击
zhuguowang01的博客
05-24 863
通过监控网络流量、分析日志文件、使用网络流量分析工具、进行路由追踪以及与ISP协同合作,我们可以增加发现和定位DDoS攻击源头的准确性和效率。ISP通常拥有更强大的资源和技术来追踪和应对DDoS攻击,他们可以帮助你定位攻击源并采取必要的措施。这些措施可以降低DDoS攻击的风险并减轻攻击对你的网络造成的影响。通过分析日志文件,你可以了解攻击发生的时间、攻击类型以及攻击目标等重要信息,从而定位攻击源。通过分析网络数据包的源IP地址、传输协议和端口号等信息,可以帮助你追踪和定位DDoS攻击的源头。
判断 DDoS 攻击点索引
chinansa的博客
10-04 810
在遭受 DDoS 攻击时,可以将流量引导到流量清洗设备进行处理,同时分析清洗后的流量,以确定攻击点的位置。ISP 通常有更强大的网络监测和防御能力,可以帮助你确定攻击点的位置,并采取相应的措施来缓解攻击。这些设备通常会录经过它们的数据包的信息,可以帮助确定攻击点的大致位置。对于一些常见的 DDoS 攻击类型,如 UDP 洪水攻击、SYN 洪水攻击等,可以通过识别特定的数据包特征来初步判断攻击点。当遭遇艾字节(EB)级别的 DDoS 攻击后,判断攻击点的索引是一项极具挑战性的任务。1. 监测网络流量模式。
性能测试分析案例-定位DDOS攻击
bala5569的博客
01-11 643
预先安装 docker、sar 、hping3、tcpdump、curl 等工具,比如 apt-get install docker.io hping3 tcpdump curl。
如何解决游戏行业DDOS攻击问题
dexunyun的博客
06-02 1307
总之,面对愈演愈烈的网络威胁,游戏行业要走出经常受到网络攻击的困境,需要采取有效的防护措施来应对DDoS攻击。找到一个有效的安全解决方案,可以确保游戏服务的安全和稳定,提升用户体验和企业的经济利益。
一次被自己DDOS攻击
weixin_30307267的博客
07-25 286
服务器报警初步分析进一步分析最终分析总结TOC 服务器报警 7月24号下午5点半开始,突然服务器报警,检查监控,发现CPU异常100%。 该服务器正常情况下CPU使用率在40%已经算高了,另外负载经过调试都保持在CPU承受范围内。 系统负载同时飙升 数据包的量直上云霄 TCP连接数上2W,正常情况下最多6K 悲剧的是刚好今晚和妹子约会...
DDoS攻击原理是什么?DDoS攻击原理及防护措施介绍
kuzina111的博客
02-21 3972
DDoS攻击是由DoS攻击转化的,这项攻击的原理以及表现形式是怎样的呢?要如何的进行防御呢?本文中将会有详细的介绍,需要的朋友不妨阅读本文进行参考. DDoS攻击原理是什么?随着网络时代的到来,网络安全变得越来越重要。在互联网的安全领域,DDoS(Distributed DenialofService)攻击技术因为它的隐蔽性,高效性一直是网络攻击者最青睐的攻击方式,它严重威胁着互联网的安全。接下...
Nginx额外篇之ddos攻击防御心得
忆的博客
07-07 2448
1.什么是ddos攻击了? 简单来说就是拒绝服务式攻击,通过调用客户端对你的服务器发起大量的正常请求,导致你的系统负载增加,流量暴涨,服务器频繁报警。 2.怎么分析ddos攻击了(以Nginx为例)? 日志示例: ipa | - | 06/Jul/2020:17:03:12 +0800 | GET xxx.apk HTTP/1.1 | 200 | 15606384 | 15606128 | xxx.com | http://xxx.html | Mozilla/5.0 | - | - | ipb,ipc
41、颅内脑出血检测与分类及DDoS攻击技术解析
zzz56的博客
10-07 56
本文探讨了颅内脑出血检测与分类技术及DDoS攻击的原理、影响与防御策略。在医疗领域,通过ROI提取和深度学习提升脑出血识别准确率;在网络安全方面,分析DDoS攻击机制,并提出负载均衡、访问控制和实时预警等应对措施。文章还展望了两个领域的技术融合可能性,强调数据安全、系统稳定性与用户培训的重要性,旨在推动医疗AI与网络安全的协同发展。
node-ddos:自定义配置防HTTP DDoS攻击解决方案
DDoS攻击试图通过发送大量请求使服务器过载,从而拒绝服务访问给合法用户。 为了保护Node.js应用免受DDoS攻击,可以使用各种工具和库来实现防护措施。在给定文件中提到的“node-ddos”就是这样的一个库,专门用于...
5、区块链与云计算:抵御DDoS攻击与优化服务分配
bb456的博客
08-18 51
本文探讨了区块链技术在预防DDoS攻击和优化云服务分配中的应用。通过分析24篇相关研究文献,系统回答了如何利用区块链隐藏用户身份、限制僵尸网络入侵、阻止攻击指令等问题,展示了区块链在提升网络安全方面的潜力。同时,设计并验证了一种基于高客户满意度的能源高效云服务分配框架,提升了服务质量与资源利用率。文章进一步分析了区块链与云服务的协同效应,结合金融与电商领域的实际案例,展望了二者在性能提升、智能化、绿色节能及多云协同等方面的发展趋势,为数字化时代的安全与效率提供了综合解决方案。
服务器被攻击了怎么办,如何追查DDoS攻击源头
09-09 4059
DDos反追踪是一件非常困难的事情,因为现在聪明的黑客都会用许多跳板。IP追踪和攻击定位技术在DDoS攻击防御研究中有重要意义。 IP攻击器和攻击定位是指当DDoS攻击发生时或攻击完成后,根据现有的信息识别出攻击路径,找到攻击发起位置。DDoS攻击源追踪定位技术的难点在于难以准确定位,因为大部分攻击包源地址都是随机生成的伪地址。根据DDos攻击网络结构,按照准确度的逐渐提高,可分为定位到发起攻击DDoS的追踪主要有两个目的: 1.是通过追踪攻击源获取攻击包的特征从而对流量进行过滤或者联系ISP寻求帮助
局域网伪造源地址DDoS攻击解决方法(转)
cuankuangzhong6373的博客
06-29 1423
【故障现象】伪造源地址攻击中,黑客机器向受害主机发送大量伪造源地址的TCP SYN报文,占用安全网关的NAT会话资源,最终将安全网关的NAT会话表占满,导致局域网内所有人无法上网。   【快速查找】在WebUIà系统状态àNAT...
AWS WAF Rate Limit 与 Shield DDoS 防护最佳实践
探索云原生与智能化驱动下的安全运维新范式。关注DevSecOps、可观测性、AIOps等前沿领域,与您共赴技术前沿。
01-02 132
在云原生架构中,DDoS 攻击和恶意爬虫是常见的安全威胁。本文将详细介绍如何通过 AWS WAF Rate Limit 和 Shield Advanced 构建多层防护体系,并分享基于生产环境的配置最佳实践。Rate Limit(速率限制)是一种通过限制单位时间内请求数量来防止滥用的机制。限制单个 IP 的请求频率防止暴力破解攻击缓解应用层 DDoS 攻击阻止恶意爬虫分层限流全局限流:45,000/5min(防 DDoS)接口限流:根据业务设置(防滥用)
dns形式的floodddos命令
wtfsb的博客
01-04 205
QUERY_TYPE="A" # DNS查询类型(A/AAAA/CNAME等)MAX_BUFSIZE=65535 # UDP数据包最大尺寸(65535字节)DNS_SERVER="8.8.8.8" # 指定DNS服务器(可选)# seq $MAX_THREADS 生成1~15的序列,xargs -P 指定并行数。TARGET_DOMAIN="example.com" # 目标域名。# 生成线程任务列表并执行多线程dig。
计算机网络经典问题透视:拒绝服务(DoS)与分布式拒绝服务(DDoS攻击全景解析
小李独爱秋的博客
12-31 796
僵尸网络是一个由攻击者(被称为“Botmaster”或“牧马人”)远程控制的、由大量被感染的互联网设备(计算机、服务器、移动设备、物联网设备等)组成的网络。网络中的每一个被控设备都被称为“僵尸”(Zombie)或“机器人”(Bot)。攻击者通过一个或多个。
含多类型充电桩的电动汽车充电站优化配置方法(Matlab代码实现)
01-04
含多类型充电桩的电动汽车充电站优化配置方法(Matlab代码实现)内容概要:本文围绕含多类型充电桩的电动汽车充电站优化配置方法展开,基于Matlab代码实现,旨在解决充电站中不同类型充电桩的合理配置问题,以提升充电效率、降低运营成本并满足用户需求。文中结合实际应用场景,构建数学优化模型,可能涉及目标函数设计(如最小化投资成本、最大化服务能力)、约束条件(如电力容量限制、空间布局限制)以及多类型充电桩(如快充、慢充、超
【软件工程分析报告】网络设备配置技术笔:路由交换安全策略综合应用
最新发布
01-04
内容概要:本文档是一份关于交换路由配置的学习笔,系统地介绍了网络设备的远程管理、交换机与路由器的核心配置技术。内容涵盖Telnet、SSH、Console三种远程控制方式的配置方法;详细讲解了VLAN划分原理及Access、Trunk、Hybrid端口的工作机制,以及端口镜像、端口汇聚、端口隔离等交换技术;深入解析了STP、MSTP、RSTP生成树协议的作用与配置步骤;在路由部分,涵盖了IP地址配置、DHCP服务部署(接口池与全局池)、NAT转换(静态与动态)、静态路由、RIP与OSPF动态路由协议的配置,并介绍了策略路由和ACL访问控制列表的应用;最后简要说明了华为防火墙的安全区域划分与基本安全策略配置。; 适合人群:具备一定网络基础知识,从事网络工程、运维或相关技术岗位1-3年的技术人员,以及准备参加HCIA/CCNA等认证考试的学习者。; 使用场景及目标:①掌握企业网络中常见的交换与路由配置技能,提升实际操作能力;②理解VLAN、STP、OSPF、NAT、ACL等核心技术原理并能独立完成中小型网络搭建与调试;③通过命令示例熟悉华为设备CLI配置逻辑,为项目实施和故障排查提供参考。; 阅读建议:此笔以实用配置为主,建议结合模拟器(如eNSP或Packet Tracer)动手实践每一条命令,对照拓扑理解数据流向,重点关注VLAN间通信、路由选择机制、安全策略控制等关键环节,并注意不同设备型号间的命令差异。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值