这是一个创建于 3947 天前的主题,其中的信息可能已经有所发展或是发生改变。
两个DNS都在Azure的A1方案上,使用t/131225这个程序,在WS2012R2上面直接运行exe就行了。
中午突然发现自己电脑解析不了域名了,遂登入RDP,一看log,三四个IP在刷屏,请求各种随机的域名,CPU直接满载。
很显然这是我遭遇flood攻击了...
同时最不巧的是接到了世纪互联客服小妹的电话,试用也要结束了,顺势就把DNS迁到了阿里云上面,我也不了解云盾能不能防flood...
大家对防flood有何方案?
我的思路是 5秒内发送超过10个请求就封掉这个IP... 但这个似乎在WS下没啥可行性...
如果有个方案也好,为此转投Debian也愿意...
最奇怪的是我的DNS从未公开,只给了二三十个“可靠的”自己认识的人用,居然莫名其妙就被flood。。。
难道是因为我加了AdBlock hosts和OneDNS那个屏蔽恶意域名的hosts动了某些人的蛋糕?
中午突然发现自己电脑解析不了域名了,遂登入RDP,一看log,三四个IP在刷屏,请求各种随机的域名,CPU直接满载。
很显然这是我遭遇flood攻击了...
同时最不巧的是接到了世纪互联客服小妹的电话,试用也要结束了,顺势就把DNS迁到了阿里云上面,我也不了解云盾能不能防flood...
大家对防flood有何方案?
我的思路是 5秒内发送超过10个请求就封掉这个IP... 但这个似乎在WS下没啥可行性...
如果有个方案也好,为此转投Debian也愿意...
最奇怪的是我的DNS从未公开,只给了二三十个“可靠的”自己认识的人用,居然莫名其妙就被flood。。。
难道是因为我加了AdBlock hosts和OneDNS那个屏蔽恶意域名的hosts动了某些人的蛋糕?
 | 1 bobopu 2015-03-15 18:00:15 +08:00 via iPhone 没收到azure防火墙的报警邮件吗?如果没报警那就是不是流量型攻击了。你在系统里也没装防火墙限制udp包吗? |
| 2 bobopu 2015-03-15 18:01:23 +08:00 via iPhone 也有可能是你这个ip之前被其他人用过的,误伤了。不过这个可能性小些吧。 |
 | 3 lsylsy2 2015-03-15 18:09:07 +08:00 一看log,三四个IP在刷屏,请求各种随机的域名,CPU直接满载。 实际上,那三四个IP被你攻击了……你被当做放大攻击的跳板了 |
 | 4 mengskysama 2015-03-15 18:11:16 +08:00 应该是DNS Amplification,可以在程序里实现个计数器和黑名单,10秒内超过100次请求就拒绝掉,你看到的IP是受害者IP。 |
| 5 mengskysama 2015-03-15 18:13:10 +08:00 IPV4 IP没多少,而且还是UDP,用一台机器扫整个段的DNS服务器一个月都不用。 |
| 6 bobopu 2015-03-15 18:38:35 +08:00 via iPhone windows的话,上sep可解。 |
 | 7 xiaozhizhu1997 OP @bobopu 也许是愚蠢的我把防火墙关了的缘故。 |
| 8 bobopu 2015-03-15 19:25:24 +08:00 @xiaozhizhu1997 你把azure的端点关闭了?不会吧。 |
| 9 xiaozhizhu1997 OP @bobopu 端点当初脑袋秀逗把80 443也给开了。。。。 我把WS系统自带防火墙给关了... |
| 10 bobopu 2015-03-15 20:41:53 +08:00  1 @xiaozhizhu1997 如果没有运行iis的话,开这两个端口应该是不作响应的。系统自带的防火墙对这种攻击没啥效果。你需要对udp包做出限制,可上赛门铁克sep解决,或者服务器安全狗都能解决。 |
| 11 xiaozhizhu1997 OP @bobopu 感谢指点,上了安全狗,限制了每秒接收的UDP包。 |
 | 12 ryd994 2015-03-16 01:47:56 +08:00 via Android 应该就是有人用来反射了,限制客户请求频率,限制放大倍数,限制缓存miss频率,这些对exim都是基本 |
Select Language