这是一个创建于 3334 天前的主题,其中的信息可能已经有所发展或是发生改变。
两个DNS都在Azure的A1方案上,使用https://www.v2ex.com/t/131225这个程序,在WS2012R2上面直接运行exe就行了。
中午突然发现自己电脑解析不了域名了,遂登入RDP,一看log,三四个IP在刷屏,请求各种随机的域名,CPU直接满载。
很显然这是我遭遇flood攻击了...
同时最不巧的是接到了世纪互联客服小妹的电话,试用也要结束了,顺势就把DNS迁到了阿里云上面,我也不了解云盾能不能防flood...
大家对防flood有何方案?
我的思路是 5秒内发送超过10个请求就封掉这个IP... 但这个似乎在WS下没啥可行性...
如果有个方案也好,为此转投Debian也愿意...
最奇怪的是我的DNS从未公开,只给了二三十个“可靠的”自己认识的人用,居然莫名其妙就被flood。。。
难道是因为我加了AdBlock hosts和OneDNS那个屏蔽恶意域名的hosts动了某些人的蛋糕?
中午突然发现自己电脑解析不了域名了,遂登入RDP,一看log,三四个IP在刷屏,请求各种随机的域名,CPU直接满载。
很显然这是我遭遇flood攻击了...
同时最不巧的是接到了世纪互联客服小妹的电话,试用也要结束了,顺势就把DNS迁到了阿里云上面,我也不了解云盾能不能防flood...
大家对防flood有何方案?
我的思路是 5秒内发送超过10个请求就封掉这个IP... 但这个似乎在WS下没啥可行性...
如果有个方案也好,为此转投Debian也愿意...
最奇怪的是我的DNS从未公开,只给了二三十个“可靠的”自己认识的人用,居然莫名其妙就被flood。。。
难道是因为我加了AdBlock hosts和OneDNS那个屏蔽恶意域名的hosts动了某些人的蛋糕?
 |
1
bobopu 2015-03-15 18:00:15 +08:00 via iPhone
没收到azure防火墙的报警邮件吗?如果没报警那就是不是流量型攻击了。你在系统里也没装防火墙限制udp包吗?
|
|
2
bobopu 2015-03-15 18:01:23 +08:00 via iPhone
也有可能是你这个ip之前被其他人用过的,误伤了。不过这个可能性小些吧。
|
 |
3
lsylsy2 2015-03-15 18:09:07 +08:00
一看log,三四个IP在刷屏,请求各种随机的域名,CPU直接满载。
实际上,那三四个IP被你攻击了……你被当做放大攻击的跳板了 |
 |
4
mengskysama 2015-03-15 18:11:16 +08:00
应该是DNS Amplification,可以在程序里实现个计数器和黑名单,10秒内超过100次请求就拒绝掉,你看到的IP是受害者IP。
|
|
5
mengskysama 2015-03-15 18:13:10 +08:00
IPV4 IP没多少,而且还是UDP,用一台机器扫整个段的DNS服务器一个月都不用。
|
|
6
bobopu 2015-03-15 18:38:35 +08:00 via iPhone
windows的话,上sep可解。
|
 |
7
xiaozhizhu1997 OP @bobopu 也许是愚蠢的我把防火墙关了的缘故。
|
|
8
bobopu 2015-03-15 19:25:24 +08:00
@xiaozhizhu1997 你把azure的端点关闭了?不会吧。
|
|
9
xiaozhizhu1997 OP @bobopu 端点当初脑袋秀逗把80 443也给开了。。。。
我把WS系统自带防火墙给关了... |
|
10
bobopu 2015-03-15 20:41:53 +08:00  1
@xiaozhizhu1997 如果没有运行iis的话,开这两个端口应该是不作响应的。系统自带的防火墙对这种攻击没啥效果。你需要对udp包做出限制,可上赛门铁克sep解决,或者服务器安全狗都能解决。
|
|
11
xiaozhizhu1997 OP @bobopu 感谢指点,上了安全狗,限制了每秒接收的UDP包。
|
 |
12
ryd994 2015-03-16 01:47:56 +08:00 via Android
应该就是有人用来反射了,限制客户请求频率,限制放大倍数,限制缓存miss频率,这些对exim都是基本
|
Select Language