我有一台装有 Ubuntu 14.04、laravel 5.2 框架的服务器。
在过去的 24 小时内,有人不断从不同的 IP 地址发送洪水请求,如下所示(log/apache2/access.log):
198.46.157.112 - - [18/Oct/2016:17:44:04 +0100] "GET /choi-ads/test_44022 HTTP/1.1" 403 6032 "http://ki****" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.59 Safari/537.36"
175.232.51.53 - - [18/Oct/2016:17:44:04 +0100] "GET /choi-ads/test_44022 HTTP/1.1" 500 47902 "-" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.2 Safari/537.36"
212.4.138.94 - - [18/Oct/2016:17:44:05 +0100] "GET /choi-ads/test_44022 HTTP/1.1" 403 6086 "http://buynew******" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.106 Safari/537.36"
139.0.51.221 - - [18/Oct/2016:17:44:05 +0100] "GET /choi-ads/test_44022 HTTP/1.1" 403 6086 "http://buynew*****" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) coc_coc_browser/55.2.126 Chrome/49.2.2623.126 Safari/537.36"
我在 fail2ban 服务上创建了一个过滤器来禁止这些 IP 地址,但请求仍然来自不同的 IP。到目前为止,我已经禁止了 1800 个 IP。
您知道如何有效地阻止这些请求吗?
答案1
通过查看日志,您可以发现请求 URI 和 UA 在所有请求中都是相同的,因此最好根据常见的攻击媒介进行阻止
因此使用以下方法来制定阻止条件
URI 和 UA 以及其他请求特定参数