На этот вопрос уже есть ответ:
Я сейчас подвергаюсь DDOS-атаке, и зомби зомби отправляют POST-запросы на одну из моих страниц. Сначала nginx отвечает всего через несколько секунд, но через некоторое время он начинает накапливаться; nginx тратит 10 минут на то, чтобы ответить на эти запросы! Но почему? Я не понимаю почему. Я даже не могу понять, почему не могу это остановить.
У меня есть следующие наборы:
client_header_timeout 5;
client_body_timeout 5;
keepalive_timeout 5 30;
send_timeout 5;
Так не должно ли тайм-аут истекать через 5 секунд? Почему это продолжается до 600 секунд и более? Есть ли способ выяснить, что это за атака? Медленный заголовок? Медленная POST? Как я могу определить, что это за атака и как ее остановить?
Следует также отметить, что соединения проходят через балансировщик нагрузки и обратный прокси-сервер Squid Cache, поэтому единственный способ я могу прочитать истинные данные клиентов. IP передается через определенные заголовки HTTP
Это будет сложно понять так; Я бы предложил полный пакет tcpdump одного из источников DDoS, а затем проанализировать, что он делает, с помощью wirehark или другого инструмента для проверки захваченных данных.