我发现来自 10 个属于同一子网的不同 IP 地址到我的网络服务器的奇怪连接46.229.168.0/23。
该子网属于托管服务提供商,几乎不代表真实用户。
之后,我通过 iptables 阻止了它们。
我想知道我是否遭受了 DDOS 攻击?
我跑了:
iptables -L -v -n
并得到以下输出:
Chain INPUT (policy ACCEPT 2141K packets, 1607M bytes)
pkts bytes target prot opt in out source destination
158K 9369K DROP tcp -- * * 46.229.168.0/23 0.0.0.0/0 tcp dpt:80
9369K-包裹被丢弃了24小时。
说这是一次 DDOS 攻击就够了吗?
答案1
从带宽上看,它的规模太小,不足以构成 DDoS,但这本身并不意味着它不会试图利用你的 Web 服务器中的某些功能,无论是应用层 DoS(例如 Range 标头漏洞)还是垃圾邮件。
您没有说明这些连接有什么“奇怪”之处。难以解释的中等流量可能意味着您被卷入反射攻击,而 DRDoS 受害者在其他地方,通常由欺骗的 IP 地址(第 3 层 DRDoS)或 URL(第 7 层)指示。例如,如果您看到大量半开SYN_RECV连接,请确保 tcp_syncookies 已打开。第 7 层 DRDoS 类似于xmlrpc.phpWordPress 中的调用。
但是,你给出的是 IP 范围,这与一个名为SEMrush机器人您可以从日志中的 User-Agent 中看到。它似乎是一种对您或您的访问者毫无价值的第三级服务,因此可能值得阻止,robots.txt正如它所建议的那样。
User-agent: SemrushBot
Disallow: /
User-agent: SemrushBot-SA
Disallow: /
或者仅对可疑范围设置防火墙。
答案2
大约是 100rps。看起来不像是真正的 DDoS。可能有人试图对您的服务器进行 DDoS,但这看起来很荒谬。