了解 netstat 列表和防御 DDOS答案

【问题标题】：Understanding netstat listing and protect against DDOS了解 netstat 列表和防御 DDOS
【发布时间】：2015-02-05 16:48:07
【问题描述】：

我的服务器受到攻击！

当我使用netstat -anp | grep :80 我得到以下清单：

tcp        0      0 162.167.98.11:80        5.189.156.224:58211     SYN_RECV    -
tcp        0      0 162.167.98.11:80        5.189.156.224:39608     SYN_RECV    -
tcp        0      0 162.167.98.11:80        5.189.156.224:33261     SYN_RECV    -
tcp        0      0 162.167.98.11:80        5.189.156.224:56951     SYN_RECV    -

这样的行数有几十行。

请帮助我理解这个列表以及如何保护服务器免受这个发出大量请求的 IP 的影响。我正在使用针对 DDOS 攻击进行配置的 fail2ban，但看起来我遗漏了一些东西。

服务器是运行 Ubuntu 12.04 的虚拟机

【问题讨论】：

标签： linux ubuntu netstat fail2ban

【解决方案1】：

Fail2ban 只会对产生某种错误的客户端做出反应。

这可能受到Slowloris 攻击。它的工作原理是打开一个连接并通过不断地向请求中添加一些东西来尽可能长时间地保持它的打开状态。然后会打开其他此类连接并保持打开状态。

因此，可能的解决方案是限制每个客户端的打开连接。

这可以通过here 中提到的直接使用 iptables 或使用适当的 apache 模块（如果这是您的网络服务器）来完成。

为此目的明确设计的一个是mod_antiloris，另一个更可配置的是mod_qos。

【讨论】：

【解决方案2】：

最后，我按照服务器安全教程阻止了攻击：https://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-part-1-basics#comment-1091

【讨论】：