不确定 SO 是否是正确的论坛,但我们需要帮助,也许程序元素可能构成最终解决方案。请不要投反对票,请推荐在哪里发布此问题,我们很乐意将其从 SO 中删除。谢谢 - 我们只是想克服这种攻击。
我们的电子商务网站似乎正受到僵尸网络的攻击,导致网站瘫痪。我们每秒收到 50-100 个请求(远远超过正常流量)。有些请求是针对过时的 URL,网站通常无法访问这些 URL。
两个问题:
1)我们如何确认该网站是否受到攻击?
2)如果网站受到攻击,我们如何抵御攻击并防止将来再次发生攻击?
我们感谢任何人提供的帮助或指导。
我们正在使用 Tomcat 6.0。(不要问为什么。你不想知道。)
谢谢!
答案1
(编辑:我刚刚看到您的评论,您运行的是 Windows。那么这对您没有帮助 :( )
如果可以,请让您的网络提供商对流量进行空路由。
您还可以执行类似的操作来限制每个源 IP 的连接数量:
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 -j DROP
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
这将限制每 60 秒最多 10 个新连接。对于指定端口 (ssh),这没问题,但端口 80 在正常情况下必须处理更多(每个图像、javascript 文件等都是一个连接)。
你必须进行实验,但我将从以下开始:
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 60 --hitcount 100 -j DROP
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
假设您没有使用端口 443。