第一輪進攻：

　時間：下午15點30左右

　　突然發(fā)現(xiàn)公司的web server無法訪問，嘗試遠(yuǎn)程登錄，無法連接，呼叫idc重啟服務(wù)器。啟動后立即登錄察看，發(fā)現(xiàn)攻擊還在繼續(xù)，并且apache所有230個進程全部處于工作狀態(tài)。由于服務(wù)器較老，內(nèi)存只有512m，于是系統(tǒng)開始用swap，系統(tǒng)進入停頓狀態(tài)。于是殺掉所有httpd，稍后服務(wù)器恢復(fù)正常，load從140降回正常值。

　　開始抓包，發(fā)現(xiàn)流量很小，似乎攻擊已經(jīng)停止，嘗試啟動httpd，系統(tǒng)正常。察看httpd日志，發(fā)現(xiàn)來自五湖四海的IP在嘗試login.php，但是它給錯了url，那里沒有l(wèi)ogin.php，其他日志基本正常，除limit RST ....之類較多，由于在攻擊中連接數(shù)很大，出現(xiàn)該日志也屬正常。

　　觀察10分鐘，攻擊停止。

　　第二輪進攻：

　　時間：下午17點50分

　　由于有了前次攻擊經(jīng)驗，我開始注意觀察web server的狀態(tài)，剛好17點50分，機器load急劇升高，基本可以確定，又一輪攻擊開始。

　　首先停掉了httpd，因為已經(jīng)動彈不得，沒辦法。然后抓包，tcpdump -c 10000 -i em0 -n dst port 80 > /root/pkts發(fā)現(xiàn)大量數(shù)據(jù)報涌入，過濾其中IP，沒有非常集中的IP，于是懷疑屬于DDoS接下來根據(jù)上次從日志中過濾得到的可疑地址，比較本次抓包結(jié)果，發(fā)現(xiàn)很多重復(fù)記錄。

　　分析：

　　這不是簡單的DDoS，因為所有httpd進程都被啟動，并且留下日志，而且根據(jù)抓包記錄，每個地址都有完整的三次握手，于是確定，所有攻擊源都是真實存在的，不是虛假的IP。

　　這樣的可疑IP一共有265個，基本上都是國外的，歐洲居多，尤其西班牙。公司客戶在歐洲的可為鳳毛麟角，只有丟卒保車了。

　　采取的措施：

　　把所有265個IP，統(tǒng)統(tǒng)加入_blank">防火墻，全部過濾ipfw add 550 deny tcp from % to me 80，重新啟動httpd。

　　觀察了3個小時，ipfw列表中所有ACL的數(shù)據(jù)報量仍舊持續(xù)增長，但是公司的web server已經(jīng)工作正常。

　　至此，此次攻擊暫告一段落，不排除稍后繼續(xù)發(fā)生，但是由于攻擊者使用的都是真實肉雞，同時掌握超過300個肉雞實屬罕見，因此基本上他不能夠在短期內(nèi)重新發(fā)動進攻。