拒绝服务攻击

突然发现ssh连接上服务器之后，敲个命令N长时间都没有反应，第一个反应就是被拒绝服务攻击啦。拒绝服务攻击我是见过很多了-_-!!是垃圾邮件？先把Postfix关了…我倒，postfix stop这么命令敲了很长时间都没反应，算了，直接kill之。但是这时服务器负载还是很高，于是killall -9 httpd。还是不行，不过ps命令已经可以列出进程了，看到proftpd的进程N多。终止proftpd后负载就一下子降下来了，那攻击者很可能就是对proftpd进行全连接攻击了，因为这台服务器ftp提供下载的东西很少，不应该有那么多连接建立的。

按顺序开启mail、web服务，没什么问题。再开ftp，服务器的负载又上升了，基本确定是针对21端口的攻击。 这台破机器装的是RH9，唉唉，他带的iptables太老了。于是从Fedora那里下载了FC3的iptables-1.2.11-3.1.FC3.src.rpm，重新编译打包并安装，这样就有一个libipt_connlimit.so可以用了。嗯，还需要一个内核模块，从netfilter的ftp下载patch-o-matic-ng解压，./runme connlimit，然后重新编译内核模块，把得到的ipt_connlimit.o拷到相应的目录，depmod -a;iptables -A INPUT -i eth0 -p tcp -m tcp –dport 21 –tcp-flags SYN,RST,ACK SYN -m connlimit –connlimit-above 3 –connlimit-mask 32 -j REJECT –reject-with tcp-reset。问题解决:)