ftp的安全问题

picotrue · 发表于 2003-6-13 14:56:17

我现在自己开着ftp么，近阶段有时侯会发现自己连不上去，我在网上看了些资料，问了几个人，说是可能是ddos攻击，也觉得蛮有可能的，因为连接的时候是拒绝，而不是提示人数已满。但是服务本身没有问题的，因为其他连着的人还在继续下载东西呢，我一共开了1个多月了，一共发现了类似情况4，5次，原来我也在论坛上提到过的，不过后来又可以了么，所以也没有引起重视。
我原来想是不是因为ftp服务器自我保护，人多了就不让连接了，但是自己也连接不上去，我就觉得有点问题了哦，不过过了一会儿又好了，因为我现在复习准备考试么，电脑一直是24小时开着的，有时间么自己坐下来看看，这次还是一个朋友告诉我有帐号的竟然连接不上呢，所以，问了一些大虾呢，哈哈。
我今天提出来，想请大家跟贴说说看，大家都是做些什么措施来尽量避免各种攻击的，因为这个问题还是蛮普遍的，我知道我们论坛可是卧龙藏虎呢！
兄弟们，踊跃发言哦，

picotrue · 发表于 2003-6-13 19:25:51

有点很奇怪，现在又有这个情况了，不过我用几个工具都查不到可疑得ip么，我用netstat看，大概是40个左右得有效连接，没有TIMEWAIT得，真实奇怪呢，大家都没有碰到过么？？还是因为我的带宽负荷重了呢，不过现在流量也不过是350k呢，以前还要5，600k呢，唉……

picotrue · 发表于 2003-6-15 08:16:32

弟兄们，帮帮忙呢！

picotrue · 发表于 2003-6-15 22:13:11

赫赫，不好意思，忘了说了。netstat -an没有发现可疑的ip，连接着的还在继续下载的，没有任何问题的，只是不让新的连接！ps -aux也没有发现可疑的进程！
我是debian woody下的proftpd 1.2.8的版本，用的是adsl性质的拨号，24小时开机的，这次开机时间有10天了。
提供匿名服务的，没有限速，最多20个进程，每个ip限制3个线程，也有帐号下载的。
welcome to tongji-picole! deb547.dns0755.net匿名即可！没有开通其他服务，也就开了个21端口，匿名不提供上传服务。
欢迎光临，不过谢绝攻击哦，赫赫

picotrue · 发表于 2003-6-16 06:29:11

我看了大部分是ESTABLISHED的，一两个TME_WAIT的, 没有SYN_RECV的，每秒钟的流量在400k/s。我想想其实感觉也不象是ddos的，因为没有几个尝试的连接请求么，不过症状就是这样的：
我用nmap扫描自己的地址[本地，域名都试的]，正常的时候开着21端口[我也只开了这一个端口]，但是有时侯扫描的时候就是扫描不到，然后这时候久肯定登入不上了，但是线上连接着的下载正常，只是拒绝新的连接，因为端口都没有开么，过一会儿端口又能扫到了，又可以连上了。扫描不到到时候连接的话报错是连接拒绝而不是人数已满，其实那时候人数也没有满。
基本情况就是这样的，也不一定是ddos[问了几个人，他们说有可能是这个]，所以还请大家帮忙分析一下呢，多谢！

picotrue · 发表于 2003-6-16 14:45:36

啊……………………………………
不会吧，怎么没有人说呢，大家的proftpd一点问题都没有的么，没有碰到类似的情况么，那你们的最大人数设置了多少，有没有限制每个ip的进程数？
给点意见呐

cnyifeng · 发表于 2003-6-16 17:31:49

你扫描不到ftp的时候，其他的端口都正常不！
还有，你分析一下你的日志文件看看有没有什么异常

picotrue · 发表于 2003-6-16 18:33:56

我只有开一个21端口，没有其他得端口，正常的时候扫到一个21开着，不行得时候就是一个端口都扫不到，说是所有得端口都是关闭得,系统日志我看不出什么名堂，好象没有什么问题得呢

picotrue · 发表于 2003-6-16 19:32:56

赫赫，日志里有这么两条，应该是蛮重要的，
Jun 16 18:55:10 deb proftpd[20795]: deb (218.80.250.89[218.80.250.89]) - FTP session opened.
Jun 16 18:55:12 deb inetd[190]: ftp/tcp server failing (looping), service terminated
Jun 16 18:55:15 deb proftpd[20797]: deb (61.151.237.62[61.151.237.62]) - FTP session opened.
Jun 16 18:55:19 deb proftpd[20796]: deb (61.151.237.62[61.151.237.62]) - FTP session

picotrue · 发表于 2003-6-16 19:33:58

Jun 16 19:05:22 deb proftpd[20830]: connect from 218.80.250.89
Jun 16 19:05:24 deb gnome-name-server[20833]: server_is_alive: cnx[IDL:GNOME/FileManager/WindowFactory:1.0] = (nil)
Jun 16 19:05:24 deb gnome-name-server[20834]: server_is_alive: cnx[IDL:GNOME/FileManager/Desktop:1.0] = (nil)
Jun 16 19:05:24 deb proftpd[20820]: deb (61.151.237.62[61.151.237.62]) - FTP session opened.

		自动登录	找回密码
密码			注册