Log analysis felt the power of ddos attack

昨天很悲剧，合租的一个马甲共享空间上的站点被人ddos了，早上看到老外的邮件才知道。
结局很悲惨，我的马甲空间又少了一个。听说这个是行规了，只要有站点被攻击，空间商立马请你走人。
都怪自己前天不小心，招租的时候有了一个游戏站点，一时大意，合作者说只挂一个导航页面，我选择相信了他，现在想来做游戏的人都不可信，国内游戏站相互攻击的确可怕:-(
> > Your site, **.com was the target of a massive 8GB DDOS attack (
> > http://en.wikipedia.org/wiki/Denial-of-service_attack ) . We had to
> > disable it as it was causing downtime for many of our customers. After
> > reviewing your account, we have decided to invoke the 14 day clause in
> > our terms of service:
还好这个马甲空间上只有5个站，帮人转移起来也还顺利。

没有机会正面感受DDOS攻击，只能事后看日志，通过日志分析来感受8GB DDOS attack攻击的可怕之处了。

当然，做好一定的防护措施，这个数量级别的ddos攻击根本没机会让你的网站瘫痪。可惜啊，没有安全措施 。怎么都觉得是空间商的防护问题。哈哈。

提供几个日志方面的数据吧，1天的日志为800M。肉鸡1271台。有兴趣的可以pm我研究原始日志。呵呵。

暂时也没仔细研究，通过cut或者awk配合uniq,sort等几个小工具随便看了下。
awk '{print $1}' access.log |sort -n|uniq -c|sort -nr|head -n 100
或者使用cut, cut和awk的差异简单说来是处理空格。
awk 以空格为分割域时，是以单个或多个连续的空格为分隔符的；
cut则是以单个空格作为分隔符。
cut -d" " -f1 error.log |sort -n|uniq -c|sort -nr |head -n 100

头100名攻击者排行榜当中，最猛的5个ip，居然是10万-50万的访问级别。太强了。余下部分ip都是数千-数百次的级别。差别很明显。
495695 218.24.4.108
313991 118.182.116.30
264188 222.143.133.118
150774 222.46.64.49
119842 60.170.40.202

awk '{print $1}' access.log |sort -n|uniq -c|sort -nr|wc -l
规模还比较小，扣除本机ip一个,肉鸡1271台。

听说这个级别花不了几个钱。所以国内私服攻击厉害的很。这次终于算是开了眼，当然代价不小。空间马甲又少了一个，郁闷啊。

～～～～～～～～～～～～～～～～无聊的分割线～～～～～～～～～～～～～～～

贴一段老外的往来邮件吧，总之就是被他bs了。没兴趣再给我提供空间服务了，囧。改天一定换马甲再杀回来。嘿嘿。