資料來源:PTT實業坊魔獸版
作者 statue (statue) 看板 WOW
標題 [情報] 魔獸藏寶箱停機說明
時間 Tue Apr 29 18:02:22 2008
───────────────────────────────────────
大家好,
我是站長 Alfred。
在巴哈姆特和遊戲基地遭受《魔獸世界》私服的攻擊後,該攻擊者剛剛打電話給我,
經過簡單的溝通失敗後,魔獸藏寶箱也面臨同樣的問題。
目前魔獸藏寶箱完全無法連上,以這台小小的機器,我想我們沒有辦法抵禦這樣的攻擊。
我只能盡力的尋求協助,並且祈禱....
Alfred
--
※ 發信站: 批踢踢實業坊(ptt.cc)
作者 statue (statue) 看板 WOW
標題 Re: [情報] 魔獸藏寶箱停機說明
時間 Tue Apr 29 20:16:08 2008
───────────────────────────────────────
※ 引述《clse0190 (shadow)》之銘言:
: 稍微說一下有關DDoS攻擊的事情好了。
: 巴哈和藏寶箱的DDoS攻擊,是同一時間送出超乎伺服器所能處理負荷的封包,於是網站就
: 當了。
: DDoS攻擊需要的不是高深的技術,而是巨量被木馬入侵的電腦,解決的方法大致上有幾種
: :
: 1.限制准許登入的ip區段,至少可以過濾90啪以上的封包...吧。
國內的殭屍超多, 目前巴哈/基地也都有擋掉國外的IP嘗試過, 但是國內的殭屍仍然
多到可以伺服器的所有資源佔掉...
: 2.改原始碼,request 1s超過十次的全部ban一個月...
: DDoS攻擊技術性不見得很高,但處理起來卻很麻煩...
: 衷心希望WOWBOX早日復原。
目前看起來, 可能是某些軟體的後門, 像是 P2P 之類的, 讓這次的 DDOS 難以處理,
而且他也不是持續的 request, 而是數千個不同的 IP 同時發送網路封包..
跟一些人討論的結果是, 除了增加硬體配備, 像是 big ip 之類的來硬碰硬,
或是多增加幾台電腦來分散處理, 但是這些都是我們所沒辦法負擔的...
--
※ 發信站: 批踢踢實業坊(ptt.cc)
作者 statue (statue) 看板 WOW
標題 Re: [情報] 魔獸藏寶箱停機說明
時間 Tue Apr 29 21:20:54 2008
───────────────────────────────────────
我多寫一些好了, 目前的攻擊主要分兩種, 一個是大量的 http request,
# ps auxwww | grep http | wc
258 3353 25773
我的伺服器只能稱 250, 所以只要超過 250 就會開始卡住..
另外一個是大量的 SYN_RECV...
# netstat -an | grep SYN_RECV | wc
1024 6144 91136
他有辦法用大量不同的 IP 來佔滿所有的資源
我有嘗試了一些 SYN attack, 不過似乎都沒有作用, 像是
Hardening the TCP/IP stack to SYN attacks
http://www.securityfocus.com/infocus/1729
也有擋掉一些國外的 IP, 但是國內的 IP 仍然可以超過上面的數量...
一個一個 ip 檔的話, 我怕我的機器還沒跑完 ip chain 就系統資源耗光了...
iptables 的設定
#下面是除了標準的一些設定外, 針對攻擊的額外設定:
#讓已經建立或者是與我們主機有關的回應封包通過,但是讓不合法的封包被抵擋在外!
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 防止惡意掃描
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags ALL ALL -j DROP
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -\
j DROP
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags ALL NONE -j DROP
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# 防止 sync flood 攻擊 (流量大主機不適用)
/sbin/iptables -N synfoold
/sbin/iptables -A synfoold -p tcp --syn -m limit --limit 1/s -j RETURN
/sbin/iptables -A synfoold -p tcp -j REJECT --reject-with tcp-reset
/sbin/iptables -A INPUT -p tcp -m state --state NEW -j synfoold
我自己在機器能遠端連線的時候, 也嘗試了不少的方法, 不過目前看來都沒有可以
正確阻擋的方式..
如果有任何網頁或是軟體可以修改的方式, 麻煩提供網址或是範例, 感謝.
--
※ 發信站: 批踢踢實業坊(ptt.cc)
作者 statue (statue) 看板 WOW
標題 Re: [情報] 魔獸藏寶箱停機說明
時間 Wed Apr 30 13:32:53 2008
───────────────────────────────────────
壞消息是, 他昨天十點又找我了, 不過又被我拒絕了, 但是他這次看起來很火大,
因為攻擊量加倍了.........
Alfred
--
水晶之刺 <Seeing Space> 不死族 牧師 Alfred
艾佛列的魔獸藏寶箱: http://wowbox.tw/
我還在期待有一天,每個任務下面都有人會分享任務心得,每個副本首領下面
都會有人分享攻略心得。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
沒有留言:
張貼留言