主页 / server / 问题 / 9517
Accepted
username
Asked: 2009-05-19 08:09:36 +0800 CST

您使用什么标准来确定是否有人在敲击您的服务器?

  • 772

当您查看日志时,您使用什么标准来确定是您(即:您需要加强服务器)还是他们(即:他们正在接近 DoS)?您认为每秒多少个连接是合理的,为什么?您是否有其他规则(例如:对也推荐垃圾邮件的 IP 进行加权?)

log-files hacking denial-of-service

3 个回答

  1. Best Answer

    理想情况下,您不必手动查看这些迹象的日志,它们应设置为生成自动 SNMP/邮件陷阱的警报阈值,并在某些情况下启动先发制人措施。

    至于具体规则,每秒连接数或类似规则会因硬件而异,但始终如一的高 CPU 使用率 (80%+) 通常会引起关注,内存和磁盘队列长度也是如此。

    • 4

  2. 在以前的雇主中,我们使用脚本来监控日志文件的增长,并在一天中的那个时间出现异常增长时向系统管理员团队发出警报。在我们设法对其进行调整之前,它会发出一些错误警报(即 - 找出一天/季节中某些时间的常见情况),但过了一段时间它运行平稳。

    • 2

  3. 交通模式的变化通常有两种类型。随着您(希望)获得人气而逐渐增加,以及由某些事件引起的突然激增。

    突如其来的浪涌是通常使人们彻夜难眠的浪涌。这可能是由于您的营销部门推出了一些新的促销活动;在 Dig.com 或类似网站上被接走;受到某种一般的互联网攻击,即 SQL Slammer [ http://en.wikipedia.org/wiki/SQL_slammer_(computer_worm) ] ;或者最可怕的是针对您、您的站点和服务器的定向攻击。

    良好的内部沟通将有助于第一个,第二个是推荐人的记录,第三个是密切关注地面,第四个是全面的行动计划。

    做日志趋势和异常检测。使用 MRTG、Cacti 或 Nagios(以及其他工具)等工具绘制流量模式图——最好包括端口号,而不仅仅是输入/输出位。寻找不会触发正常警报的“雷达下”黑客尝试(阅读挤压检测:http ://www.amazon.com/Extrusion-Detection-Security-Monitoring-Intrusions/dp/0321349962和类似的书)。

    最重要的是现在开始寻找一切正常的东西,并开始感受“正常”的样子。了解您的业务——您一天/周/月/年的忙碌时间是什么时候?开始绘制图表和趋势,以便您可以参考历史记录 - 越长越好。

    • 0

相关问题