【我Linux服务器被ddos了】记一次ddos防御+溯源+反击

相信大家都听过DDOS攻击、DDOS攻击，那 “DDOS攻击” 到底是什么呢？

一、什么是DDOS攻击？（知道的小伙伴可以跳过这一条↓↓）

站长也不跟大家扯百度百科上面的这一套，都是专业术语，我也害怕自己讲不明白

那我们通俗的来讲

打比方说 被攻击方是你开的一家包子铺，正常的情况下无外乎就是客户来到你的包子铺，他给你钱你给他包子，这就可以看做是一次正常的服务器请求；

然后攻击方，也就是你隔壁也开了家包子铺，他的店铺没有人，羡慕嫉妒你门店里面客户很多，于是你隔壁家包子铺就花钱雇来一堆人去你的包子铺里面排队，只排队不买包子，扰乱你正常客户的买包子速度（因为要排队），这就是DDOS攻击；

这就是用通俗的话来讲的DDOS攻击

二、发生了什么事？

就在前两天，站长旗下的一台服务器响应极慢，什么都进不去？

看了服务器控制台才发现，服务器超带宽了 PS：超带宽是指你服务器带宽最大是5Mbit/s，结果处理了10Mbit/s的请求

(图是后来截得，当时带宽跑到15Mbit/s)

我的第一反应是，去查看平台的主机安全险

结果发现了近50条暴力破解，然后就一直猜测是不是我搭建的源码有后门，别人通过后门在我服务器内部植入病毒，然后利用我的资源进行挖矿之类的内部问题，从而忽视了来自外部的攻击。

结果呢就是我查了一天服务器内部文件问题，也没有发现问题所在何处。

最后我提交了工单，打了客服电话，客服告诉我没有查到DDOS记录，我也没有多想

三、怎么发现的？

找了几天都没有找到原因，于是我联系了我做网络运维的朋友，请他们帮我看看问题所在

果然术业有专攻，一眼就发现了问题不对，于是在我朋友所说下，我去看了我的服务器请求

我服务器是Linux系统，所以我使用iftop插件 PS：iftop可以用来监控网卡的实时流量（可以指定网段）、反向解析IP、显示端口信息等

可以看到，服务器正在受到这三个IP的大量（次数）访问，单条数据达到了2M至3M（一般网站请求没有这么大）

四、如何防御DDOS

一般我们买的服务器都有个东西叫做 “安全组” ，一般是用来开放服务器端口的，当然也可以屏蔽某IP

划重点！划重点！划重点！

少量攻击解决方法：先在服务器安全组内，设置此IP的所有端口禁止请求我们的服务器（适用于小量IP访问）

大量攻击解决方法：如果大量IP对服务器进行攻击的话，那么就只能给服务器买防御了

实体服务器被攻击：使用实体防火墙设置规则库进行规则校验拦截非正常请求

五、溯源

获得攻击者IP后，使用工具进行查询IP

查询后可以看到，这个攻击人是使用腾某云的服务器对我进行发起的攻击，很好奇的是他为什么没有隐藏自己的IP

我在猜可能是哪个可怜蛋的服务器被当成肉鸡了，还好没有对我业务造成太大的影响，所以我将上述情况抓包取证上报给了腾讯云，交给腾讯云处理

怎么抓包？

Linux 使用 tcpdump 命令

语法：tcpdump -i eth0 host 【攻击ip】 -w 【保存文件名.cap】

保存文件时，需要先进入到目标目录，再执行命令

耐心等待之后，就会在服务器中生成一个名为 119.91.110.246.cap 的文件

注意：抓包取证时不要ban掉这个ip，否则抓不到数据

如法炮制，将证据一块提交至 腾讯云举报中心（https://console.cloud.tencent.com/rc）

好了，以上就是我这次的防御过程，如果大家有什么不明白的地方，可以在下方评论