大约两周以来,我们一直受到攻击,我们尽了最大努力来保护自己。mod_reqtimeout 现在正在工作,但我很困惑,他们到底在攻击什么
我找到了这个帖子 服务器遭受 DDOS 攻击 - 如何找出 IP? 然后跑了
cut -f 2 -d '"' yourweblog.log|cut -f 2 -d ' '|sort|uniq -c|sort -nr|more
结果很奇怪
548308 -
4517 /
31794 http://www.mysite.com/
这是什么 - ?
流量尾部显示数百
186.153.249.149 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
201.240.116.165 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
201.240.116.165 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
190.42.110.72 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
190.42.110.72 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
190.40.68.68 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
190.40.68.68 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
186.1.87.251 - - [12/Aug/2013:16:31:29 -0500] "-" 408 - "-" "-"
186.1.87.251 - - [12/Aug/2013:16:31:29 -0500] "-" 408 - "-" "-"
189.252.92.187 - - [12/Aug/2013:16:31:29 -0500] "-" 408 - "-" "-"
189.252.92.187 - - [12/Aug/2013:16:31:29 -0500] "-" 408 - "-" "-"
408 表示 mod_reqtimeout 丢弃了它们
任何帮助表示感谢
答案1
您是否可以控制服务器?如果可以,并且您拥有 root 权限,我建议您在此处进入 apache 的下一层,然后捕获接口的数据包以查找这些 IP 地址。
tcpdump -n -A -s0 -i <interface> host 186.153.249.149 or host 201.240.116.165...
就像这样如何在 tcpdump 中获取 http 请求详细信息?
您还可以使用 -W 标志写入 pcap 文件-W somefile.pcap,然后在 wireshark 或其他数据包检查程序中打开它。在此级别,您应该能够在 HTTP 请求到达 apache 之前看到它。否则,我建议粘贴日志的示例部分,以便我们可以推荐正确的文本过滤器一行。并且日志格式因配置而异。
tcpdump 有很多选项,学习难度较高,但功能非常强大。在将请求的 URL 传递给 apache 之前,您可以获取它们到达服务器时的 URL 流。