我怎么知道短时间内的大量请求来自 DoS 攻击而不是正常的浏览器请求?
答案1
恶意攻击的一个更明显迹象是,有大量请求的内容并非您的实际内容。除此之外,您能做的最好的事情就是寻找模式。
一秒钟内来自同一来源的数千个相同或相似的请求很可能是 DOS 攻击的一部分。它也可能是由故障程序引起的,但从您的角度来看,唯一的区别在于意图。当然,如果这个数字是数十万甚至数百万个请求,那么您确实受到了攻击。如果这些请求来自不同的来源,情况也是如此。
答案2
你不能 - 至少不是总是这样。这完全取决于 DDOS 攻击的性质:如果它只访问一个页面,那么它可能是恶意 DDOS 攻击,或者只是 slashdot 群体(如果是 slashdot,你可能能够通过引荐来源获得提示)
如果多个 IP 开始更频繁地出现并过快地抓取您的网站,这可能会对您的网站不利,也可能是您想要的:如果您有有趣的(且不断变化的)内容,大型搜索引擎会更积极地抓取您。这可能不会太分散,但如果太积极,至少可能会导致 DOS。
毕竟:slashdotted 攻击不也是一种 DDOS 吗?它是手动的,但分布很广,可能会导致 DOS。
如果您出现在热门流媒体播客中,那么每个人都会同时了解您的网站(twit.tv 就是个例子 - 他们经常通过提及网站来关闭网站),那么您将无法从引荐来源中获得任何提示。由于每个人都在浏览器中手动输入 URL,因此无法提示他们来自哪里。
最后一个问题:当你确定它们是什么时:你会用它们做什么?你的网络可能已经饱和,因此需要在网络外部添加 DDOS 保护 - 或者你正在寻找一种算法来放置在那里?