一次小型流量攻击的检查和处理

这个案例中的客户用的并不是阿里云主机，但是对于阿里云可以作为一个典型的反面例子，因为阿里云可以为客户防御一定流量(貌似现在是5G)的攻击，这次案例中的流量对于阿里云实在算不了什么。


客户遇到的问题如下：



简单看了下，网站访问速度很慢，打开要几十秒时间，ping延时偏高，有掉包，因为CPU跑满也会造成ping出现这种情况，所以最初判断的结果是程序或者环境的负载问题可能性比较大（客户网站访问量不算小，十几万PV）。

登录系统后，检查日志请求，并未发现异常情况。


打开iftop，看到二个IP流向服务器的流量比较大，而且是持续的。如下图：

一般访问网站，是从服务器流出的流量比较大。


使用netstat查看这个IP建立的连接：

从日志中并没有发现这个IP的请求日志，但是与80端口建立了大量的连接，可以确定是攻击行为了。


封掉IP后，ping截图如下：



可以很明显的看到分界点，在封掉IP后恢复到了正常的ping值。


由于服务器是5M带宽，这二个攻击IP很轻松的占满了下行带宽，而且是恰到好处，影响到了网站访问速度，但是ping的掉包并不严重，很难通过PING判断出是攻击。
这次案例中的攻击流量实在是小的可怜，基本属于小朋友过家家型的，所以在服务器上处理比较简单。如果流量再大些，处理会更复杂。

原创文章，转载请以超链接注明出处： http://www.yundaiwei.com/post/205.html