神话科技叶枫借贵处发表声明一则!
各位亲爱的落伍者大家过年好,我是神话公司的技术主管叶枫,借贵处先向在此的各位拜个早年啦 :-)由于我们在im286没有帐号,所以只能借上海的朋友hiho-boy的帐号临时发表一则有关此次落伍DDoS攻防的简要声明。
一、关于攻击动机分析
无外乎两种可能
a、针对我们神话科技 b、针对落伍者论坛
如果说针对我们神话,我个人觉得还是十分费解的,因为正如大家所看到的,在我们公司为im286提供主机服务以来的近1年半当中,大家可曾看到过我们公司在落伍发过哪怕一则广告?或者是在别的任何地方说,嘿,落伍是我们公司提供服务的,以此来招揽主机客户?绝对没有!正相反,我们小谢在和落伍鱼谈的时候,就大力建议他尽量使落伍保持非商业形态,也因此我们特意在主机协议时要求落伍banner不得加载除我们公司外的主机商广告(公益公告当然不限制),目的就是为了尽量减少落伍的商业味道。在有此便利的情况下,大家可有曾看到落伍的banner出现了我们神话科技的广告?
所以说,针对我们神话科技的变态商业竞争目的而来攻击是没有必要的。
如果说,针对落伍,那么就更没有必要了,攻击者的最终目的是什么?利益又是什么?
二、关于我们公司的阻截此次攻击
攻击首次出现在我们公司正好大规模迁移服务器的时期,247网段有30多台服务器要迁移251网段,以便和我们公司其他服务器统一在一起以便于管理,工作量确实很大准备工作繁忙。我们已经提前将Cisco Pix迁至了新网段,而落伍者暂时就只受软件防火墙保护。但显然软件防火墙无法阻挡攻击,会造成web访问时断时续。
因此,我们先于计划时间提前将落伍迁到新网段以接受Pix的保护。
遗憾的是,我们很快发现,Cisco Pix无法阻挡此种基于应用层80端口的攻击,Cisco公司的防火墙产品顾问也证实了这一点。
1天后,我们找到了解决办法,我们在Cisco后,额外部署了一台网桥黑洞:-)
大家可能会疑惑,既然如此,那么为什么,落伍这次休息了9天左右呢?
这对攻击者可能不会是一个好消息。攻击者的攻击是利用某些软件,伪装出众多IP进行攻击,这种情况下攻击源IP将会隐藏得很深,较难查找。而且只能通过电信来配合,在边界路由(border router)上作包截取和分析,从而才能确定源地址,因为不论伪装IP如何众多,攻击发起者连入网络的IP始终会只有1个,但这过分析过程需要时间很长,通常需要2-3天。
同时由于,攻击者可能是拨号上网等不确定性,IP有可能会有变化,所以通常需要重复几次这种操作,因为大家也知道,我们就算拨号上网,但IP变动也是有个范围的,多追踪到几次,通过电信就能确定到是哪个地方的了。
我们在这7天多当中所做的工作就是:
特意不立即阻断攻击,联系了电信做边界路由回溯,否则攻击被阻挡而停止之后,可能就抓不住了:)
联系了上海公共网络安全信息监察处对此事件备案,随时准备走司法程序
我们已经将对方的IP地址范围确定下来,并已送交网监处,尽管我们也不希望走司法程序,确实比较麻烦,手续冗长,所以希望攻击者好自为之吧。
三、攻击的正式阻隔
部署网桥黑洞:
在完成攻击者的边界路由回溯查找工作后,昨天正式开启网桥黑洞保护,很显然,我们发现对方绝绝对对有意攻击落伍的!
因为我们初始设置单点IP并发限额20,超过部分会导向黑洞,落伍在正常了1个小时以后,web请求队列重新被攻击填满,那么很明显,对方要么是经常访问落伍的人,要么就是一直密切注视着落伍情况的人。
之后我们设置了网桥黑洞限制单点并发限额为4,超过部分导向黑洞,至此落伍基本恢复正常了:)
消费者有知情权,本则声明就是此次落伍中断的情况介绍。
最后感谢:
落伍中断期内,鱼的理解和配合。
我们公司其他同事日以继夜的配合测试。
其它关心落伍打电话联系我们公司的朋友。
Hiho-boy提供此帐号让我发表这些文字。
ps:为了让更多落伍者能够知道大致情况,希望斑竹看到此篇帖子后予以置顶一段时间。 可是图片打不开呀,用代理能打开 阅 …… ;) 真详细。。。 怪不得好了没多久又月经了N小时
HOHO
黑洞不错嘛 支持 *** 作者被禁止或删除 内容自动屏蔽 *** 支持神话 [quote]Originally posted by [i]呜喂[/i] at 2004-1-16 01:18 PM:
阅 [/quote] 没了落伍真是难过~HOHO~Cisco Pix防火墙,贵啊 *** 作者被禁止或删除 内容自动屏蔽 *** 谁的神话空间不好啊 顺便一起解决了 哈 *** 作者被禁止或删除 内容自动屏蔽 *** 支持神话 嘿嘿;) 杀那小子游街市众,小人是活不长滴. 没看懂 支持支持