在我的 Apache 访问日志中,我每分钟收到数百条这样的信息
my.server.ip.address mysite.com:80 27.145.135.56 - - [14/Dec/2016:07:37:30 +1100] "\x16\x03\x01" 400 0 "-" "-"
大约一两分钟后,我的 Apache 崩溃了。
我尝试将该 IP 地址添加到我的 iptables
iptables -A INPUT -s 27.145.135.56 -j DROP
但当我查看 iptable 条目时,它不知何故变成了下面这样
DROP all -- cm-27-145-135-56.revip12.asianet.co.th anywhere
但更大的问题是我仍然看到 apache 日志条目。
我该怎么做才能解决这个问题?现在,我需要重新启动 Apache 才能让我的网站再次运行。仅供参考,我在 Linode 上。
答案1
严格来说,这不是 DDOS 攻击。DDOS 攻击源自许多不同的 IP 地址(第一个 D 表示分布式)。
我甚至不确定你是否遭受了任何形式的攻击。
您可以使用您提到的防火墙规则来阻止来自单个 IP 的请求(确保 iptables 已启动并正在运行),也可以使用 apache .htaccess 文件来阻止此 IP,如下所示:
order allow,deny
deny from 27.145.135.56
allow from all
答案2
您是否已经在端口 80 上的 VirtualHost 设置中配置了“SSLEngine On”?
\x16\x03\x01 似乎与 SSL 错误有关,并且错误日志中的行引用了端口 80。
我会检查您的 Apache 配置,看看 SSL 配置中是否有任何错误。
答案3
您可以在 iptables 中使用速率限制...如下所示的新规则将仅允许每个 IP 地址建立 20 个连接:
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset