每一个网站都会面对网络攻击。唯一的区分在于，怎么建设防御，和如何进行警报和响应。

在网络上很难找到关于防御黑客攻击的真实案例。一方面，信息表露可能会引发官司，另外一方面，表露这些信息常常会致使不良的财务后果，因此各公司常常不甘心分享相关细节。但是，如果我们完全不表露这些故事，会使其它人在不知情的情况下犯相同的毛病。如果我们为建立要挟情报共享体系做出贡献，分享网络安全战场上的真实经验，可让事情变得更好。

下面是事件进程：

疯狂攻击

第一轮进犯：

时刻：下午15点30左右

发现公司的web server没法访问，测验远程登录，没法连接，呼唤idc重启服务器。发动后立即登录调查，发现进犯还在延续，并且apache一切230个进程悉数处于作业状态。由于服务器较老，内存只要512m，所以体系开端用swap，体系进入中断状态。所以杀掉一切httpd，稍后服务器恢复正常，load从140降回正常值。

开端抓包，发现流量很小，好像进犯现已中断，测验发动httpd，体系正常。调查httpd日志，发现来自四面八方的IP在测验login.php，可是它给错了url，那里没有login.php，其他日志基本正常，除limit RST ....之类较多，由于在进犯中连接数很大，出现该日志也属正常。

调查10分钟，进犯中断。

第二轮进犯：

时刻：下午17点50分

由于有了前次进犯经历，我开端留意调查web server的状态，恰好17点50分，机器load急剧升高，基本能够判定，又一轮进犯开端。

重要停掉了httpd，由于现已动弹不得，没办法。然后抓包，tcpdump -c 10000 -i em0 -n dst port 80 > /root/pkts发现许多数据报涌入，过滤其间IP，没有十分会集的IP，所以置疑归于DDoS防御接下来根据上次从日志中过滤得到的可疑地址，对照本次抓包成果，发现许多重复记录。

剖析：

这不是简略的DDoS，由于一切httpd进程都被发动，并且留下日志，并且根据抓包记录，每一个地址都有完全的三次握手，所以判定，一切进犯源都是实在存在的，不是虚伪的IP。

这样的可疑IP一共有265个，基本上都是海外的，欧洲占多数，特别西班牙。公司客户在欧洲的可为百里挑一，只要丢卒保车了。

采用的办法：

把一切265个IP，统统参加_blank">防火墙，悉数过滤ipfw add 550 deny tcp from % to me 80，从头发动httpd。

调查了3个小时，ipfw列表中一切ACL的数据报量照旧延续增长，可是公司的web server现已作业正常。

至此，这次进犯暂告一段落，不扫除稍后延续发作，可是由于进犯者使用的都是实在肉鸡，同时掌控超出300个肉鸡实属罕见，因此基本上他不能够在短时间内从头发动进犯。