Ddos
DOS攻擊問題
我們的網站上充斥著網路請求,這似乎是 DOS 攻擊。
- 全部在 80 埠
- 數據包大小的分佈不是正常的網路流量
- 33% 的數據包是 64 或 66 字節
- 75% 的數據包為 128 字節或更少
- 99% 的數據包小於 256 字節
- 我們正在執行大約 10K 數據包/秒
- 在 5 秒的視窗中,我們看到了來自 822 個不同 IP 地址的 Web 請求
- 所有請求都是針對 / (首頁)
我們嘗試切換 IP 地址,但不幸的是,攻擊發生在域名級別而不是 IP 級別……
任何幫助,將不勝感激。
所有的請求(除了 / 的請求)還有什麼類似的嗎?我見過一些弱 DoS 嘗試,其中攻擊者使用相同的使用者代理字元串進行整個攻擊。
如果您是這種情況,您可以使用 mod_rewrite 轉儲對這些使用者代理字元串的請求(如果您使用的是 apache):
RewriteCond %{HTTP_USER_AGENT} TheBadUserAgentStringHere RewriteRule .* - [F,L]
這可以防止您的 Web 伺服器花時間為這些請求呈現您的首頁,並向請求者返回 403/Forbidden。
如果他們點擊 GET / HTTP/1.0,正如 rackerhacker 所說,如果您可以在 UserAgent 字元串中看到類似的內容,您可以嘗試過濾它。如果您的網站是動態的,您可能會考慮將 Varnish 放在前面,並為首頁硬編碼 5 分鐘或更長時間的 TTL,從而消除 Apache 的負載並解決許多其他潛在的攻擊媒介。
如果您沒有執行 Apache 2.2.15+,那麼下一次攻擊可能是 Vampire 攻擊,新的 request_timeout 模組是為了防止這種攻擊而編寫的。Varnish/Squid 和 Nginx、Lighttpd 等由於它們處理流量的方式已經可以防止它。
你必須承受攻擊,但是,當他們看到他們的努力沒有奏效時,他們會改變策略。
您可能還會查看您的託管公司是否有任何流程來幫助辨識和對抗傳入的攻擊。