定位入站 DDOS 的来源

定位入站 DDOS 的来源

我们的网络服务器(Nginx、MySQL、PHP)目前正遭受 DDOS 攻击。

传出流量正常(平均 563 kb/秒),但传入流量却占用了我们的 1gbit 端口(平均 800Mb/秒)。

在 Nginx 访问日志中,我注意到 10-15 个唯一 IP 反复向已安装的支持票证系统 (/support/index.php - 运行 OSTicket) 发送 POST 请求,结果出现 499 错误。我在 iptables 中阻止了这些 IP 上的 INPUT/OUTPUT。我认为这没什么用,但考虑到这些 IP 每隔几秒钟就会重复发送 POST 请求,这还是很奇怪的。

我如何才能查明有问题的 IP 并阻止它们发送大量传入请求?

编辑:这是 iptables -L -v 的打印输出http://pastebin.com/cyGLKJh4

答案1

短期 - 要求您的主机/ISP 在其级别阻止 IP

长期来看,尝试追踪这些 IP 的所有者(或提供这些 IP 的 ISP),并告诉他们这些 IP 已被入侵,并被用作 DDOS 僵尸网络的一部分

答案2

如果它们直接阻塞您的管道,那么它们就不需要发出 HTTP 请求,甚至根本不需要通过您的 iptables 规则 - 将流量路由到您的设备就足以阻止服务。

考虑到这一点,您当然可以使用类似的东西来识别源主机tcpdump- 但如果您的 ISP 或提供商不参与,您在预防方面实际上无法做任何事情,因为他们需要在路由器或防火墙处阻止流量,然后才能将其发送到您的设备以发挥任何作用。

相关内容