Ботнет может атаковать наш сайт прямо сейчас, как мы должны ответить? [дубликат]
На этот вопрос уже есть ответ:
Не уверен, что SO - правильный форум, но нам нужна помощь, и, возможно, программные элементы могут составить окончательное решение. Вместо того, чтобы голосовать против, пожалуйста, порекомендуйте, где разместить этот вопрос, и мы с радостью удалим его из SO. Спасибо - мы просто хотим преодолеть эту атаку.
Похоже, что наш сайт электронной торговли подвергся атаке со стороны ботнета, в результате чего наш сайт не работает. Мы получаем 50-100 запросов в секунду (намного больше обычного трафика). Некоторые запросы относятся к устаревшим URL-адресам, которые обычно недоступны с сайта.
Два вопроса:
1) Как мы можем подтвердить, что сайт атакован?
2) Если сайт атакован, как мы можем отразить атаку и предотвратить будущие?
Мы ценим любую помощь или руководство, которое кто-либо может предложить.
Мы используем Tomcat 6.0. (Не спрашивайте почему. Вы не хотите знать.)
Спасибо!
(edit: I just saw your comment that you run Windows. This won't help you then :( )
If you can, have your network provider null-route the traffic.
You can also do something like this to limit the amount of connections per source IP:
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 -j DROP
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
This sets a limit of max 10 new connections per 60 seconds. For the specified port (ssh) this is fine, but port 80 will have to handle more under normal conditions (every image, javascript file, etc, is a connection).
You would have to experiment, but I'd start with:
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 60 --hitcount 100 -j DROP
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
That's assuming you're not using port 443.