每个网站都会面对网络攻击。唯一的区别在于，如何建设防御，以及如何进行警报和响应。

在网络上很难找到关于防御黑客攻击的真实案例。一方面，信息披露可能会引发官司，另一方面，披露这些信息往往会导致不良的财务后果，因此各公司往往不情愿分享相关细节。然而，如果我们完全不披露这些故事，会使其它人在不知情的情况下犯相同的错误。如果我们为建立威胁情报共享体系做出贡献，分享网络安全战场上的真实经验，可以让事情变得更好。

下面是事件过程：

疯狂攻击

第一轮进犯：

时刻：下午15点30摆布

     发现公司的web server无法访问，测验远程登录，无法连接，呼叫idc重启服务器。发动后当即登录调查，发现进犯还在持续，并且apache一切230个进程悉数处于作业状况。因为服务器较老，内存只要512m，所以体系开端用swap，体系进入中止状况。所以杀掉一切httpd，稍后服务器恢复正常，load从140降回正常值。

开端抓包，发现流量很小，好像进犯现已中止，测验发动httpd，体系正常。调查httpd日志，发现来自四面八方的IP在测验login.php，可是它给错了url，那里没有login.php，其他日志基本正常，除limit RST ....之类较多，因为在进犯中连接数很大，出现该日志也属正常。

调查10分钟，进犯中止。

第二轮进犯：

时刻：下午17点50分

因为有了前次进犯经历，我开端留意调查web server的状况，刚好17点50分，机器load急剧升高，基本能够断定，又一轮进犯开端。

首要停掉了httpd，因为现已动弹不得，没办法。然后抓包，tcpdump -c 10000 -i em0 -n dst port 80 > /root/pkts发现许多数据报涌入，过滤其间IP，没有十分会集的IP，所以置疑归于DDoS防御接下来依据上次从日志中过滤得到的可疑地址，对比本次抓包成果，发现许多重复记录。

剖析：

这不是简略的DDoS，因为一切httpd进程都被发动，并且留下日志，并且依据抓包记录，每个地址都有完整的三次握手，所以断定，一切进犯源都是实在存在的，不是虚伪的IP。

这样的可疑IP一共有265个，基本上都是国外的，欧洲居多，特别西班牙。公司客户在欧洲的可为百里挑一，只要丢卒保车了。

采纳的办法：

把一切265个IP，通通参加_blank">防火墙，悉数过滤ipfw add 550 deny tcp from % to me 80，从头发动httpd。

调查了3个小时，ipfw列表中一切ACL的数据报量依旧持续增长，可是公司的web server现已作业正常。

至此，这次进犯暂告一段落，不扫除稍后持续发作，可是因为进犯者使用的都是实在肉鸡，同时把握超越300个肉鸡实属罕见，因而基本上他不能够在短期内从头发动进犯。