这对我来说还是第一次。我运营的一个网站最近遭到了攻击。这根本不是一次智能攻击——纯粹的暴力攻击——攻击了所有可能的扩展名的所有页面和非页面。向每个表单发送了垃圾数据,还试图向一些随机网址发送。今天一小时内总共发送了 16000 个请求。
我应该怎么做才能防止/警告这种行为?有没有办法限制给定 IP/客户端的请求/小时?
我应该向哪个地方举报该用户?他们似乎来自中国,并留下了看似有效的电子邮件。
答案1
您在网站上运行什么类型的软件?这些评论字段是定制的,还是一些流行的软件包?大多数流行的软件包都有插件来帮助击败(已知的)垃圾邮件机器人。如果它是定制的,添加 CAPTCHA 肯定会有助于减少垃圾邮件。
此外,如果您知道“用户”的 IP,请将其从您的网站屏蔽(如果您有这个能力),并将其报告给您的网站托管商(假设您由远程公司托管)。您的托管商将(阅读:应该)很乐意屏蔽 16,000 个额外的请求。特别是如果您在共享托管商上,因为这可能会影响其他客户的性能。
答案2
首先,试着找出他们做了什么。他们是否成功注入了代码或 SQL?他们是否修改了您的数据库?这样他们就可以访问他们不应该访问的数据?
您的描述听起来好像他们只是进行了一些随机“攻击”,并没有造成真正的伤害。在这种情况下,请尝试针对您尚未采取安全措施的攻击设置防御措施。因此,请用一些验证码武装您的论坛。
预防:验证码可以提供帮助。还有一些工具可以检查您的网站是否存在一些安全问题。您可能想要使用这样的工具。
警报/限制:取决于环境和您的托管商。您始终可以在您的页面中添加 IP 检查,并简单地返回拒绝特定 IP 的访问,但 a) 我猜 IP 不会被修复,下次,无辜的人会获得该 IP;b) 一个 IP(公司代理)后面是否经常有多个用户。因此,阻止 IP 似乎不是一个好主意。
答案3
如果您使用的是 Linux,则“iptables”可让您自由选择限制来自 IP 地址或 IP 地址范围的新连接的策略。尝试:
iptables -A 输入 -p tcp --dport 80 -m 状态 --state NEW -m 限制 --limit 120/分钟 -j 接受 iptables -A 输入 -p tcp --dport 80 -j DROP
答案4
如果您还没有,请确保您的网站正在记录 IP。您可以在 www.dnstuff.com 上进行免费 IP WHOIS,以查看 IANA 认为 IP 地址的来源。在许多情况下,它还会提供 IP 地址的注册商或 ISP,您可以直接联系他们进行报告。
显然,您可以暂时阻止 IP 地址,但唯一的问题是许多 ISP 都使用 DHCP 地址,即使攻击者今天拥有该 IP,但明天可能会有所不同,更重要的是,合法用户可能会获得被阻止的 IP。
您的网站托管在哪里?如果攻击发生在一段时间内,比如说 10 分钟,它应该会在某个地方触发 DDOS 警报,因为网站的正常流量可能不会在这么短的时间内发出那么多请求。Barracuda 等设备的设计目的是在请求太快时阻止这些请求。IIS 也有一个类似的功能,如果太多请求同时到达,它会认为它受到了攻击,并且在许多情况下会丢弃连接。许多 SharePoint 搜索安装都存在这个问题,因为搜索索引器会非常快速地请求大量内容。
希望这能对你有所帮助,或者给你一些关于应该关注什么的想法。你可以向网站添加 CAPTCHA 和其他内容,但最终这类攻击归结为 TCP/IP 和设备来识别攻击并阻止或杀死它,你的网站只能尽力保护自己。