Определение источника входящего DDOS [дубликат]
На этот вопрос уже есть ответ здесь:
- Я нахожусь под DDoS. Что я могу сделать? 5 ответов
Наш веб-сервер (Nginx, MySQL, PHP) в настоящее время подвергается атаке DDOS.
Исходящий трафик нормальный (в среднем 563 кб / сек), но входящий трафик - это то, что поглощает наш 1-гигабитный порт (в среднем 800 Мбит / сек).
В журнале доступа Nginx я заметил, что запрос POST с ошибкой 499 поступает с 10-15 уникальных IP-адресов очень часто в систему тикетов поддержки с установленным (/support/index.php - запущенным OSTicket). Я заблокировал INPUT / OUTPUT на этих IP-адресах в iptables. Я не думаю, что это что-то сделало, но, тем не менее, это было странно, учитывая, что эти IP-адреса повторяли запрос POST каждые несколько секунд.
Как я могу определить проблемные IP-адреса и заблокировать их от отправки массивных входящих запросов?
РЕДАКТИРОВАТЬ: Вот распечатка iptables -L -v http://pastebin.com/cyGLKJh4
В краткосрочной перспективе - попросите своего хоста / провайдера заблокировать IP-адреса на их уровне
В долгосрочной перспективе - попытайтесь отследить владельцев этих IP-адресов (или провайдеров, которые их предоставляют) и сообщить им, что они были скомпрометированы и используются как часть ботнета DDOS
Если они напрямую насыщают ваш канал, тогда им не нужно делать HTTP-запросы или даже проходить через ваши правила iptables - маршрутизация трафика на ваше устройство достаточно, чтобы предотвратить обслуживание.
Имея это в виду, вы, безусловно, можете идентифицировать исходные хосты с помощью чего-то вроде tcpdump - но вы действительно не можете ничего сделать с точки зрения предотвращения без участия вашего интернет-провайдера , так как им нужно будет заблокировать трафик на маршрутизаторе или брандмауэре, прежде чем он будет отправлен на ваше устройство, чтобы принести пользу.