資料來源:PTT實業坊魔獸版

 作者  statue (statue)                                              看板  WOW
 標題  [情報] 魔獸藏寶箱停機說明
 時間  Tue Apr 29 18:02:22 2008
───────────────────────────────────────

                                                                                                                                                              
大家好,
                                                                               
我是站長 Alfred。
                                                                               
在巴哈姆特和遊戲基地遭受《魔獸世界》私服的攻擊後,該攻擊者剛剛打電話給我,
                                                                               
經過簡單的溝通失敗後,魔獸藏寶箱也面臨同樣的問題。
                                                                               
目前魔獸藏寶箱完全無法連上,以這台小小的機器,我想我們沒有辦法抵禦這樣的攻擊。
                                                                               
我只能盡力的尋求協助,並且祈禱....
                                                                               
Alfred
                                                                                
--
※ 發信站: 批踢踢實業坊(ptt.cc)

 作者  statue (statue)                                              看板  WOW
 標題  Re: [情報] 魔獸藏寶箱停機說明
 時間  Tue Apr 29 20:16:08 2008
───────────────────────────────────────

                                                                               
※ 引述《clse0190 (shadow)》之銘言:
: 稍微說一下有關DDoS攻擊的事情好了。
: 巴哈和藏寶箱的DDoS攻擊,是同一時間送出超乎伺服器所能處理負荷的封包,於是網站就
: 當了。
: DDoS攻擊需要的不是高深的技術,而是巨量被木馬入侵的電腦,解決的方法大致上有幾種
: :
:         1.限制准許登入的ip區段,至少可以過濾90啪以上的封包...吧。
國內的殭屍超多, 目前巴哈/基地也都有擋掉國外的IP嘗試過, 但是國內的殭屍仍然
多到可以伺服器的所有資源佔掉...
:         2.改原始碼,request 1s超過十次的全部ban一個月...
: DDoS攻擊技術性不見得很高,但處理起來卻很麻煩...
: 衷心希望WOWBOX早日復原。
目前看起來, 可能是某些軟體的後門, 像是 P2P 之類的, 讓這次的 DDOS 難以處理,
而且他也不是持續的 request, 而是數千個不同的 IP 同時發送網路封包..
                                                                               
跟一些人討論的結果是, 除了增加硬體配備, 像是 big ip 之類的來硬碰硬,
或是多增加幾台電腦來分散處理, 但是這些都是我們所沒辦法負擔的...
                    
--
※ 發信站: 批踢踢實業坊(ptt.cc)

 作者  statue (statue)                                              看板  WOW
 標題  Re: [情報] 魔獸藏寶箱停機說明
 時間  Tue Apr 29 21:20:54 2008
───────────────────────────────────────

                                                                               
我多寫一些好了, 目前的攻擊主要分兩種, 一個是大量的 http request,
                                                                               
# ps auxwww | grep http | wc
    258    3353   25773
                                                                               
我的伺服器只能稱 250, 所以只要超過 250 就會開始卡住..
                                                                               
另外一個是大量的 SYN_RECV...
                                                                               
# netstat -an | grep SYN_RECV | wc
   1024    6144   91136
                                                                               
他有辦法用大量不同的 IP 來佔滿所有的資源
                                                                               
我有嘗試了一些 SYN attack, 不過似乎都沒有作用, 像是
                                                                               
Hardening the TCP/IP stack to SYN attacks
http://www.securityfocus.com/infocus/1729
                                                                               
也有擋掉一些國外的 IP, 但是國內的 IP 仍然可以超過上面的數量...
                                                                               
一個一個 ip 檔的話, 我怕我的機器還沒跑完 ip chain 就系統資源耗光了...
                                                                               
iptables 的設定
#下面是除了標準的一些設定外, 針對攻擊的額外設定:
#讓已經建立或者是與我們主機有關的回應封包通過,但是讓不合法的封包被抵擋在外!
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 防止惡意掃描
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags ALL ALL -j DROP
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -\
j DROP
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags ALL NONE -j DROP
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# 防止 sync flood 攻擊 (流量大主機不適用)
/sbin/iptables -N synfoold
/sbin/iptables -A synfoold -p tcp --syn -m limit --limit 1/s -j RETURN
/sbin/iptables -A synfoold -p tcp -j REJECT --reject-with tcp-reset
/sbin/iptables -A INPUT -p tcp -m state --state NEW -j synfoold
                                                                               
                                                                               
我自己在機器能遠端連線的時候, 也嘗試了不少的方法, 不過目前看來都沒有可以
正確阻擋的方式..
                                                                               
如果有任何網頁或是軟體可以修改的方式, 麻煩提供網址或是範例, 感謝.
--
※ 發信站: 批踢踢實業坊(ptt.cc)

 作者  statue (statue)                                              看板  WOW
 標題  Re: [情報] 魔獸藏寶箱停機說明
 時間  Wed Apr 30 13:32:53 2008
───────────────────────────────────────

                                                                               
壞消息是, 他昨天十點又找我了, 不過又被我拒絕了, 但是他這次看起來很火大,
                                                                               
因為攻擊量加倍了.........                                                                              
                                                                               
Alfred
                                    
--
水晶之刺 <Seeing Space> 不死族 牧師 Alfred
艾佛列的魔獸藏寶箱: http://wowbox.tw/
我還在期待有一天,每個任務下面都有人會分享任務心得,每個副本首領下面
都會有人分享攻略心得。
                                                                               
--
※ 發信站: 批踢踢實業坊(ptt.cc)
創作者介紹

谷得霖的宅基地

谷得霖 發表在 痞客邦 PIXNET 留言(0) 人氣()