我们的网站似乎遭受了拒绝服务攻击。攻击涉及多个 IP 地址,这些地址均已在 Facebook 上注册。
以下是 Apache 日志文件的摘录:
173.252.73.119 - - [29/Aug/2013:14:22:14 +0100] "GET /blog/?s=224im089cz+pofmv90+4445u422bmw+5iaa1nxh4j1+ppabi%2Gjewl_biochemist++ HTTP/1.1" 200 179 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
如您所见,请求的 URL 有效,但包含乱码查询字符串。每秒有数百个这样的请求。
我认为 IP 地址和引荐来源都是伪造的。即使上述 URL 已在 Facebook 上发布/共享,也无法解释来自同一 IP 地址和引荐来源的其他数千个随机请求。
虽然我们可以通过防火墙阻止 IP 地址,但还有其他 IP 地址正在使用(全部注册到 Facebook),如果 Facebook 实际上不负责任,我们不想阻止他们。
这些攻击的源头是否可能来自其他地方?我们如何减轻这些攻击的影响?
答案1
这些点击是 Facebook 查询你的服务器以获取图片或文本摘录等内容时产生的。例如,如果某个链接被发布并迅速走红,它将被加载每一个查看上述链接。您可以联系[电子邮件保护]这样他们就可以查看并确定这些链接是否真的有效。
请注意,这不是拒绝服务攻击,而是您的服务器无法应对大量流量。拒绝服务攻击只会让您的网站无法使用,而这只是一台繁忙的服务器。
答案2
我不认为这是 Facebook。
您是否尝试过访问这个 URI - 也可能是服务器已受到攻击,实际上这里有东西在监听。您在此处获得 HTTP 状态 100 - 有事情正在发生 - 这不是File not Found。
请仔细查看 - 如果你安装了 webshell,它将被隐藏。查看此处末尾处的内容,看看它看起来是什么样的:http://daniel-khan.at/index.php/2013/05/12/webserver-attack-deconstructed/
在所有其他情况下(这实际上是一个指向无任何内容的虚假 URI):
如果你收到很多点击,你可以使用 iptables 限制http://thelowedown.wordpress.com/2008/07/03/iptables-how-to-use-the-limits-module/
如果blog根本不是有效路径,请尝试在 .htaccess 中阻止它
<Directory /blogn>
Order Deny,Allow
Deny from all
</Directory>
这样,服务器就不会负载过大,机器人也不会感到疲劳。