网站被攻击,造成无法访问,怎么解决? 初步判断是ddos或udp攻击_百度知道
网站被攻击,造成无法访问,怎么解决? 初步判断是ddos或udp攻击
是租用的万网空间
提问者采纳
这个取决与你的权限 如果是空间的话 可以尝试屏蔽IP，如果是虚拟主机或者服务器的话可以尝试进一步设置
租用空间的话要联系服务运营商屏蔽ip吗?
空间一般都有控制面板的 你可以找找看是否有设置黑名单的地方，具体得看什么面板了，另外有的网站程序也可以适当的屏蔽IP，如果是直接攻击服务器的话你需要尝试联系客服了
如果是控制肉鸡,或是用虚拟ip攻击我的话,屏蔽ip是不是不好用啊,如果封端口,他又攻击端口怎么办?
他攻击你只是空间 他或许目的不是你
所以不可能天天攻击 你只需要做到不让自己损失什么就可以了
而且你是空间 权限很低 除了一些必要的黑名单 其他也做不了什么
提问者评价
其他类似问题
为您推荐：
udp攻击的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁如何发现 NTP 放大攻击漏洞 | WooYun知识库
如何发现 NTP 放大攻击漏洞
NTP 漏洞相关的文章在 Drops 已经有过了，并且不止一篇，之所以又翻译了这一片文章，是觉得文章的整体思路很不错，希望对看这篇文章的你有所帮助。
BTW：本文翻译比较随意，但是并没有破坏原文含义。
NTP 放大攻击其实就是 DDoS 的一种。通过 NTP 服务器，可以把很小的请求变成很大的响应，这些响应可以直接指向到受害者的电脑。
NTP 放大使用的是 MONLIST 命令。MONLIST 命令会让 NTP 服务器返回使用 NTP 服务的最后 600 个 客户端 IP。通过一个有伪造源地址的 NTP 请求，NTP 服务器会将响应返回给那个伪造的 IP 地址。你可以想象，如果我们伪造受害者的 IP 对大量的 NTP 服务器发送 MONLIST 请求，这将形成 DOS 攻击。
显然我们不能容忍这样做，但我比较有兴趣的是去发现有多少 NTP 服务器能够发大这种数据。他不是什么新的攻击，所以你希望不会有太多的 NTP 服务器支持 MONLIST 命令。
0x01 如何去做
为了确定有多少 NTP 服务器响应 MONLIST 请求，我会通过两个独立的部分去做。
在第一部分，通过 masscan 工具，对 UDP 的 123 端口进行扫描，扫描结果保存到 ntp.xml 文件中，命令如下：
./masscan -pU:123 -oX ntp.xml --rate .0.0.0-120.0.0.0
由于我的服务器带宽比较小，如果选择全网扫描，肯定会较慢，所以我随机的选择了一个 IP 段：101.0.0.0-120.0.0.0。
扫描完成后，会把 UDP 123 端口开放的设备保存在 XML 文件中。不知道什么原因，我的扫描结果 xml 文件中包含了许多重复的记录，我写了一个 python 脚本用于处理这些重复的记录，去重后的结果会保存到 port123.txt 文件中。
代码如下：
from lxml import etree
port = None
address = None
parsedServers = []
#Opens the file used to store single enteries.
outputFile = open('port123.txt', 'a')
#Iterates through the masscan XML file.
for event, element in etree.iterparse('ntp.xml', tag="host"):
for child in element:
if child.tag == 'address':
#Assigns the current iterations address to the address variable.
address = child.attrib['addr']
if child.tag == 'ports':
for a in child:
#Assigns the current iterations port to the port variable.
port = a.attrib['portid']
#is both port and IP address are present.
if port & 1 and address & 1:
#If the IP hasnt yet been added to the output file.
if address not in parsedServers:
print address
#Write the IP address to the file.
outputFile.write(address + '\n')
#write the IP to the parsedServers list
parsedServers.append(address)
port = None
address = None
element.clear()
outputFile.close()
print 'End'
这个脚本运行后，port123.txt 文件中包含开放 UDP 123 端口并且去重后的所有 IP。
在第二部分中我们主要来确定 port123.txt 中的 IP 的 123 端口是否运行 NTP 服务，如果是 NTP 服务，是否响应 MONLIST 请求。
我写了一个 python 脚本来实现上面的需求，主要用到 scapy 库。
首先我导入我脚本需要的所有库，并且定义一些变量：
from scapy.all import *
import thread
然后我构造了发给 NTP 服务器的 MONLIST 请求的原始数据。在这个过程中我发现请求的数据必须达到一定的值服务器才会返回数据，具体原因不清楚。只要请求超过 60 字节，服务器就会返回数据，因此我下面的代码中有 61 个\x00 字符。
rawData = "\x17\x00\x03\x2a" + "\x00" * 61
在 python 脚本中我打开了两个文件：port123.txt 是 masscan 发现的开放 UDP 123 端口的 IP 地址，monlistServers.txt 是用于保存支持 MONLIST 命令的 NTP 服务器。
logfile = open('port123.txt', 'r')
outputFile = open('monlistServers.txt', 'a')
然后我定义了一个叫 sniffer 的函数，这个函数的作用主要就是监听在 48769 端口上的 UDP 数据，这个端口是发送 MONLIST 请求的源端口，只要任何 NTP 服务器响应 MONLIST 请求，都将响应到这个端口上。目标网络地址是你的 IP 地址，NTP 服务器的响应将返回到这个 IP 上，在本文中，我讲设置这个 IP 为：99.99.99.99。
def sniffer():
sniffedPacket = sniff(filter="udp port 48769 and dst net 99.99.99.99", store=0, prn=analyser)
任何符合 UDP 端口 48769 的数据包都会被捕获到，并且会放到 analyser 函数中，稍后我讲介绍 analyser 函数。
sniffer 定义好了，并且会在线程中执行，同时会放到后台运行。
thread.start_new_thread(sniffer, ())
接下来，我遍历 masscan 发现的所有 IP 地址。对于每个 IP 地址我都会发送一个源端口为 48769，目的端口是 123 的 UDP 数据包，数据包就是我们前面构造的 rawData。实际上这个就是对所有的 IP 发送 MONLIST 请求。
for address in logfile:
send(IP(dst=address)/UDP(sport=48769, dport=123)/Raw(load=rawData))
只要有 NTP 服务器响应 MONLIST 请求，这个响应数据将会被运行在线程中 sniffer 抓取，sniffer 会把所有接收到的数据放到 analyser 函数中处理，而 analyser 函数会检查捕获到的数据包，并且确定包的大小超过 200 字节。在实际的测试中我发现，如果 NTP 服务器不响应 MONLIST 请求，响应包的大小通常在 60-90 字节，或者不存在响应包。如果 NTP 服务器响应 MONLIST 请求，响应包就会比较大，一般包含多个响应包，通常每个包为 480 字节。所以只要检查到所接收的响应包是大于 200 字节就表示该 NTP 服务器支持 MONLIST 请求。最后我们会把响应包大约 200 字节的 IP 地址写入到 outputFile。
if len(packet) & 200:
if packet.haslayer(IP):
outputFile.write(packet.getlayer(IP).src + '\n')
通常如果 NTP 服务器支持 MONLIST 请求，那么它将会返回多个数据包用于包含使用 NTP 服务的 IP 地址。因为 sniffer 会捕捉所有符合条件的数据包，所以 outputFile 文件中将会有许多重复的数据。我通过 sort 和 uniq 命令来对 outputFile 文件进行去重。
sort monlistServers.txt | uniq
这个结果文件中包含所有支持 MONLIST 命令的 NTP 服务器。
完整的 python 脚本如下：
from scapy.all import *
import thread
#Raw packet data used to request Monlist from NTP server
rawData = "\x17\x00\x03\x2a" + "\x00" * 61
#File containing all IP addresses with NTP port open.
logfile = open('output.txt', 'r')
#Output file used to store all monlist enabled servers
outputFile = open('monlistServers.txt', 'a')
def sniffer():
#Sniffs incomming network traffic on UDP port 48769, all packets meeting thease requirements run through the analyser function.
sniffedPacket = sniff(filter="udp port 48769 and dst net 99.99.99.99", store=0, prn=analyser)
def analyser(packet):
#If the server responds to the GET_MONLIST command.
if len(packet) & 200:
if packet.haslayer(IP):
print packet.getlayer(IP).src
#Outputs the IP address to a log file.
outputFile.write(packet.getlayer(IP).src + '\n')
thread.start_new_thread(sniffer, ())
for address in logfile:
#Creates a UDP packet with NTP port 123 as the destination and the MON_GETLIST payload.
send(IP(dst=address)/UDP(sport=48769, dport=123)/Raw(load=rawData))
print 'End'
正如我前面所提到的，我的带宽实在是太小了，所以我只能够选择一个 IP 段：101.0.0.0-120.0.0.0。如果我的数学不是体育老师教的话，那么我应该不会算错，这个 IP 段内包含 318,767,104 个 IP 地址（19256256）。
masscan 发现 253,994 个设备开放了 UDP 的 123 端口，占了扫描 IP 的 0.08%。
在 253,994 个设备中，支持 MONLIST 命令的设备有 7005 个，占比为 2.76%。
如果按照这个比例进行换算的话，那个整个互联网上将有 91,000 台开启 MONLIST 功能的 NTP 服务器。
&乌云知识库版权所有 未经许可 禁止转载
为您推荐了适合您的技术文章:
处理masscan的扫描结果用python太麻烦了，shell足矣
怎么绕过NTP加密
您的运营商开启了uRPF，卒
我的体育是数学老师教的
101 102 103...120共计20而非19 你的数学的确是体育老师教的
感谢知乎授权页面模版UDP Flood攻击原理及防护
UDP Flood攻击原理及防护
UDP Flood攻击原理及防护
作者：冰盾防火墙　网站：　日期：
UDP Flood攻击
UDP Flood是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。 100k pps的UDP Flood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。由于UDP协议是一种无连接的服务，在UDP FLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击。
正常应用情况下，UDP包双向流量会基本相等，而且大小和内容都是随机的，变化很大。出现UDP Flood的情况下，针对同一目标IP的UDP包在一侧大量出现，并且内容和大小都比较固定。攻击工具：
53端口的UDP Flood攻击抓图：
UDP Flood大包攻击（占带宽，分片）：
3.3.2 UDP Flood防护
UDP协议与TCP 协议不同，是无连接状态的协议，并且UDP应用协议五花八门，差异极大，因此针对UDP Flood的防护非常困难。其防护要根据具体情况对待：?
判断包大小，如果是大包攻击则使用防止UDP碎片方法：根据攻击包大小设定包碎片重组大小，通常不小于1500。在极端情况下，可以考虑丢弃所有UDP碎片。?
攻击端口为业务端口：根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量。?
攻击端口为非业务端口：一个是丢弃所有UDP包，可能会误伤正常业务；一个是建立UDP连接规则，要求所有去往该端口的UDP包，必须首先与TCP端口建立TCP连接。不过这种方法需要很专业的防火墙或其他防护设备支持
友情推荐：
给大家推荐一款比较好用的防UDP flood攻击的防火墙&冰盾DDOS防火墙：可以自动防御syn flood、udp flood、ack flood、icmp flood等常规的DDOS攻击，另外还特别加设了cc攻击防护模块，可以有效解决因cc攻击造成的游戏无法登陆，网站打开卡或打不开等常见问题。冰盾DDOS监控界面如下图所示：
最新内容：
相关内容：
合作伙伴：Current position :
Prestige:<span class="cl09" id="prestige_6
Bonus&points:<span class="cl09" id="exp_68
Gold&coins:<span class="cl09" id="score_65
Title:Associate Engineer
1#Font Size | Post On
UDP Flood攻击与防御原理
UDP类攻击中的报文源IP和源端口变化频繁，但报文负载一般保持不变或具有规律的变化。防御有效方法是使用关联防御和指纹学习。
攻击者通过僵尸网络向目标服务器发起大量的UDP报文，这种UDP报文通常为大包，且速率非常快，通常会造成以下危害。从而造成服务器资源耗尽，无法响应正常的请求，严重时会导致链路拥塞。
一般攻击效果是消耗网络带宽资源，严重时造成链路拥塞。
大量变源变端口的UDP Flood会导致依靠会话转发的网络设备，性能降低甚至会话耗尽，从而导致网络瘫痪。
如果攻击报文达到服务器开放的UDP业务端口，服务器检查报文的正确性需要消耗计算资源，影响正常业务。
UDP Flood关联TCP类服务防范
UDP是无连接的协议，因此无法通过源认证的方法防御UDP
Flood攻击。如果UDP业务流量需要通过TCP业务流量认证或控制，则当UDP业务受到攻击时，对关联的TCP业务强制启动防御，用此TCP防御产生的白名单决定同一源的UDP报文是丢弃还是转发。
比如，有些服务例如游戏类服务，是先通过TCP协议对用户进行认证，认证通过后使用UDP协议传输业务数据，此时可以通过验证UDP关联的TCP类服务来达到防御UDP
Flood攻击的目的。当UDP业务受到攻击时，对关联的TCP业务强制启动防御，通过关联防御产生TCP白名单，以确定同一源的UDP流量的走向，即命中白名单的源的UDP流量允许通过，否则丢弃。具体防御原理如所示。
UDP Flood关联TCP类服务防范
载荷检查和指纹学习
当攻击报文负载有特征时，则可以采用动态指纹学习或特征过滤防御。
载荷检查：当UDP流量超过阈值时，会触发载荷检查。如果UDP报文数据段内容完全一样，例如数据段内容都为1，则会被认为是攻击而丢弃报文。
指纹学习：当UDP流量超过阈值时，会触发指纹学习。指纹由Anti-DDoS设备动态学习生成，将攻击报文的一段显著特征学习为指纹后，匹配指纹的报文会被丢弃。动态指纹学习适用于以下类型的UDP
Flood攻击。
报文载荷具有明显特征。
报文负载内容完全一致。
指纹防御的原理如所示。
UDP指纹学习
Prestige:<span class="cl09" id="prestige_6
Bonus&points:<span class="cl09" id="exp_68
Gold&coins:<span class="cl09" id="score_65
Title:Associate Engineer
UDP Flood攻击与防御原理
How to Buy
Quick Links查看: 7273|回复: 18
在线时间905 小时最后登录评分232 金币24002 树叶0 注册时间阅读权限45帖子主题精华2积分466UID13657
杨饭(感谢CPCW保留账号)
中流砥柱, 积分 466, 距离下一级还需 34 积分
树叶0 金币24002 积分466
办公内网，多达3000多台电脑，本网段都有近200台保持联网，最近异常慢，防火墙提示UDP攻击，肿么办？
在线时间7615 小时最后登录评分763 金币24079 树叶720 注册时间阅读权限100帖子主题精华5积分2615UID10352
成事不说，遂事不谏
树叶720 金币24079 积分2615
攻击源是外网IP还是内网IP
　如果您的问题得到解决，请修改标题加上“[已解决]”
在线时间905 小时最后登录评分232 金币24002 树叶0 注册时间阅读权限45帖子主题精华2积分466UID13657
杨饭(感谢CPCW保留账号)
中流砥柱, 积分 466, 距离下一级还需 34 积分
树叶0 金币24002 积分466
外网&&十分怀疑内网有人用P2P在线视频软件，到晚上上传生产数据报表等就特别快
在线时间7615 小时最后登录评分763 金币24079 树叶720 注册时间阅读权限100帖子主题精华5积分2615UID10352
成事不说，遂事不谏
树叶720 金币24079 积分2615
杨恭如的FANS 发表于
外网&&十分怀疑内网有人用P2P在线视频软件，到晚上上传生产数据报表等就特别快
P2P就麻烦了，一个看片全部卡住，不看了，只要软件没关，还会上传数据
　如果您的问题得到解决，请修改标题加上“[已解决]”
在线时间509 小时最后登录评分106 金币2356 树叶36 注册时间阅读权限35帖子主题精华0积分165UID1283035
前途无量, 积分 165, 距离下一级还需 35 积分
树叶36 金币2356 积分165
........................
本帖最后由 seonlove3 于
20:32 编辑
.....................
既然还有生的欲望,为何还轻言死去！
在线时间905 小时最后登录评分232 金币24002 树叶0 注册时间阅读权限45帖子主题精华2积分466UID13657
杨饭(感谢CPCW保留账号)
中流砥柱, 积分 466, 距离下一级还需 34 积分
树叶0 金币24002 积分466
本帖最后由 杨恭如的FANS 于
15:27 编辑
外网攻击已经被挡住了，油田的网络维护大队重新调整了硬墙的参数木有问题了
但内网台慢了，反映给他们杳无音信，郁闷，该怎么办？
在线时间905 小时最后登录评分232 金币24002 树叶0 注册时间阅读权限45帖子主题精华2积分466UID13657
杨饭(感谢CPCW保留账号)
中流砥柱, 积分 466, 距离下一级还需 34 积分
树叶0 金币24002 积分466
360每到关键时刻都“哑巴“，而且不干正事，跟内网北信源在电脑上”较劲“，只安装了360杀毒、风云防火墙
有没有什么软件能追查P2P在哪个电脑上？
在线时间7615 小时最后登录评分763 金币24079 树叶720 注册时间阅读权限100帖子主题精华5积分2615UID10352
成事不说，遂事不谏
树叶720 金币24079 积分2615
杨恭如的FANS 发表于
360每到关键时刻都“哑巴“，而且不干正事，跟内网北信源在电脑上”较劲“，只安装了360杀毒、风云防火墙
　如果您的问题得到解决，请修改标题加上“[已解决]”
在线时间905 小时最后登录评分232 金币24002 树叶0 注册时间阅读权限45帖子主题精华2积分466UID13657
杨饭(感谢CPCW保留账号)
中流砥柱, 积分 466, 距离下一级还需 34 积分
树叶0 金币24002 积分466
不会，如果有软件的话
在线时间7615 小时最后登录评分763 金币24079 树叶720 注册时间阅读权限100帖子主题精华5积分2615UID10352
成事不说，遂事不谏
树叶720 金币24079 积分2615
杨恭如的FANS 发表于
不会，如果有软件的话
科来，用HUB或端口镜像交换机，具体的可以看软件的帮助说明
　如果您的问题得到解决，请修改标题加上“[已解决]”
SecurityExpert(病毒与安全)
年度优秀版主}