DDOS攻击--空连接(SYN 攻击,慢连接,异常报文攻击)
现象观察
客户的网站突然访问不正常了,在外部,访问时断时续,只要刷新,多刷几次,总是能够看到正常页面,当然,多数时候都是页面无法访问。
我经过观察,反复测试,发现在客户的自己的机子上通过localhost访问,一点问题也没有。一个奇怪的现象,
chrome浏览器,在页面不正常的时候,提示:
拒绝了我们的请求,请检查
网络连接
代理服务器和防火墙。
我开始判断客户的网络抽风,防火墙那里出了问题,导致连接没有到达apache。防火墙那边的技术反馈说没有问题。看到服务器上apache的负载明显很低。
花了一天的时间,观察和总结黑客的攻击行为,日志文件看了又看。始终没有思绪。从日志里面来看,没有多少用户访问,每个请求的访问都在日志里面。
到了晚上八点,网站突然正常了。