ตอนนี้ webhosting ผมโดนยิงหนักมากครับ Nginx ก็พอกันได้บ้าง แต่เหมือนมันยิงแช่ตลอดเลย

คือยิงแช่จน apache อืด และ หน้าเว็บ php จะเข้าไม่ได้

แล้วต้อง restart httpd ถึงจะกลับมาใช้ได้ปกติแปปนึง

มีวิธีกันอย่างอื่นเพิ่มอีกไหมครับ ขอบคุณมากครับ

หรือจะมีวิธีทำให้ httpd restart เช็คเองอัตโนมัติไหมครับ หากมันโดนยิงจนอืดไป

อาการเป็นยังไงครับ
processes httpd เยอะไหมครับ

เข้า root พิมพ์ตามนี้ครับ
netstat -nat | awk ‘{print $6}’ | sort | uniq -c | sort -n

จากนั้นพิมพ์ดู IP ที่ Attack เข้ามาครับ
netstat -tuna | grep :80 | grep SYN_RECV

บล็อคลง iptables เลยครับ คาดว่าน่าจะโดน ddos slowloris ครับ

ขอบคุณมากครับ ลองดูก่อนนะครับ :875328cc:

[COLOR=#0000cd][B] Mr.taJi [/B][/COLOR]ขอบคุณมากครับ ใช้วิธีนี้แล้ว หา ip บล๊อกได้เลยครับ

แต่พอไปลองบางเครื่องที่โดนยิงไม่หนักมาก ลองดูแล้ว

16627 ? Ss 0:00 /usr/sbin/httpd -k start -DSSL
30694 ? S 0:42 _ /usr/sbin/httpd -k start -DSSL
561 ? S 0:35 _ /usr/sbin/httpd -k start -DSSL
4411 ? S 0:23 _ /usr/sbin/httpd -k start -DSSL
7154 ? S 0:11 _ /usr/sbin/httpd -k start -DSSL
7220 ? S 0:10 _ /usr/sbin/httpd -k start -DSSL
7223 ? S 0:09 _ /usr/sbin/httpd -k start -DSSL
7224 ? S 0:10 _ /usr/sbin/httpd -k start -DSSL
7295 ? S 0:08 _ /usr/sbin/httpd -k start -DSSL
9318 ? S 0:01 _ /usr/sbin/httpd -k start -DSSL

แต่ใช้ netstat -tuna | grep :80 | grep SYN_RECV ไม่โชว์ IP ที่ยิงครับ

ดูจากพวก server status ของ apache ก็ได้นะครับ

ใช่ครับ ดูจาก apache status ดีกว่า รู้ด้วยว่ายิงมาที่ url ใหน

ลงแล้วครับ แต่ดูใน server status ไม่เป็น เหอๆ ^ ^ :189bbdde:

ตอนนี้อาการเป็นยังไงบ้างครับ คุณ [B]WissavaponSoontornnon[/B]

อาการดีขึ้นไหมครับ ตอนนี้

ดีขึ้นแปปเดียวครับ เหมือนตอนนี้ มันจะเปลี่ยน ip มายิงต่อได้เหมือนเดิมและยังหา ip ไม่เจอครับ

server status ดูที่ ip ซ้ำกันเยอะๆ / url ซ้ำกันเยอะๆ แค่นั้นแหละครับ

ขอบคุณครับ ลองดูต่อ

Server status เปิดextended status ด้วยนะคับ

เปิดแล้วครับ

ExtendedStatus On

netstat -nat | awk ‘{print $6}’ | sort | uniq -c | sort -n

  1 established)
  1 Foreign
  3 LAST_ACK
 14 SYN_RECV
 65 FIN_WAIT2
 96 FIN_WAIT1
155 CLOSE_WAIT
223 LISTEN

3583 ESTABLISHED
22800 TIME_WAIT

ดูแล้วยังฮะ

หา ip ไม่เจอ คงไม่ได้โดน syn flood ddos พวกนี่แล้วละครับ

โดน udp flood ครับ หาไม่เจอครับถ้า netstat

ติดตั้ง Monitor เลยครับจะได้รู้ว่า udp จาก ip ไหน
yum -y install iptraf
วิธีใช้งานก็ใช้คำสั่ง
iptraf

ถ้าบล็อคไอพีไปแล้ว เปลี่ยนไอพีมายิงใหม่ บล็อคไปก็เปล่าประโยชน์ครับ ส่วนใหญ่จะมาจาก IP บ้าน ทั้งนั้น True, 3BB, TOT อื่นๆ
ลง mod ใน apache ครับ config ให้ limit ip connection ครับผม

ดันไป service httpd restart มันครับ เลยหายไป เด๋วรอดูตอนมันยิงอีกรอบครับ :154218d4:

กด Thanks ขอบคุณผู้ช่วยเหลือด้วยก็ได้นะครับ :beautifu2: