我们的征途是星辰大海

My Conquest Is the Sea of Stars

Log analysis felt the power of ddos attack

昨天很悲剧,合租的一个马甲共享空间上的站点被人ddos了,早上看到老外的邮件才知道。
结局很悲惨,《Log analysis felt the power of ddos attack》我的马甲空间又少了一个。听说这个是行规了,只要有站点被攻击,空间商立马请你走人。
都怪自己前天不小心,招租的时候有了一个游戏站点,一时大意,合作者说只挂一个导航页面,我选择相信了他,现在想来做游戏的人都不可信,国内游戏站相互攻击的确可怕:-(
> > Your site, **.com was the target of a massive 8GB DDOS attack (
> > http://en.wikipedia.org/wiki/Denial-of-service_attack ) . We had to
> > disable it as it was causing downtime for many of our customers. After
> > reviewing your account, we have decided to invoke the 14 day clause in
> > our terms of service:

还好这个马甲空间上只有5个站,帮人转移起来也还顺利。

没有机会正面感受DDOS攻击,只能事后看日志,通过日志分析来感受8GB DDOS attack攻击的可怕之处了。

当然,做好一定的防护措施,这个数量级别的ddos攻击根本没机会让你的网站瘫痪。可惜啊,没有安全措施 。怎么都觉得是空间商的防护问题。哈哈。

提供几个日志方面的数据吧,1天的日志为800M。肉鸡1271台。有兴趣的可以pm我研究原始日志。呵呵。

暂时也没仔细研究,通过cut或者awk配合uniq,sort等几个小工具随便看了下。
awk '{print $1}' access.log |sort -n|uniq -c|sort -nr|head -n 100
或者使用cut, cut和awk的差异简单说来是处理空格。
awk 以空格为分割域时,是以单个或多个连续的空格为分隔符的;
cut则是以单个空格作为分隔符。

cut -d" " -f1 error.log |sort -n|uniq -c|sort -nr |head -n 100

头100名攻击者排行榜当中,最猛的5个ip,居然是10万-50万的访问级别。太强了。余下部分ip都是数千-数百次的级别。差别很明显。
495695 218.24.4.108
313991 118.182.116.30
264188 222.143.133.118
150774 222.46.64.49
119842 60.170.40.202

awk '{print $1}' access.log |sort -n|uniq -c|sort -nr|wc -l
规模还比较小,扣除本机ip一个,肉鸡1271台。

听说这个级别花不了几个钱。所以国内私服攻击厉害的很。这次终于算是开了眼,当然代价不小。空间马甲又少了一个,郁闷啊。

~~~~~~~~~~~~~~~~无聊的分割线~~~~~~~~~~~~~~~

贴一段老外的往来邮件吧,总之就是被他bs了。没兴趣再给我提供空间服务了,囧。《Log analysis felt the power of ddos attack》改天一定换马甲再杀回来。嘿嘿。

《Log analysis felt the power of ddos attack》

点赞
  1. Nicko说道:

    想问一下DDOS在access.log里面是什么样的一条记录。鄙站的access.log里经常出现很奇怪的一堆不知道是16进制还是unicode请求。
    58.16.31.58 - - [08/Feb/2012:03:40:54 -0500] "5\xAAq\x99\xE7\xCB\xAE\xA3\xFF$\x9....'' 400 166 "-" "-"
    望解答,谢谢~

    1. wanjie说道:

      这个应该是 Unicode Decode Error,你的某篇文章解码错误,你看下完整的日志,或者error.log\nddos的结果是日志很大,呵呵,里面有很多重复的内容和请求ip.

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据