这是我的第一个。 我运行的其中一个网站最近受到攻击。 完全不是一个聪明的攻击 – 纯粹的蛮力 – 每一个页面和每一个非页面都可能触及每一个扩展。 垃圾数据发布到每个表单,并试图张贴到一些随机的URL也。 一小时内所有的请求,16000个请求。
我应该怎么做才能防止/提醒这种行为? 有没有办法限制一个给定的IP /客户端的请求/小时?
有一个地方,我应该报告用户? 他们似乎来自中国,并且留下了一封看似有效的电子邮件。
你在你的网站上运行什么types的软件? 这些评论领域是定制的,还是一些stream行的软件包? 最stream行的软件包有插件来帮助击败(已知)的垃圾邮件。 如果是定制的,添加validation码肯定会有助于减less垃圾邮件。
此外,如果您知道“用户的IP”,则将其从您的站点中阻止(如果您有此能力),并将其报告给您的虚拟主机(假设您由一家远程公司托pipe)。您的主机(将阅读:应该)阻止16,000个额外的请求。 特别是在共享主机上时,可能会影响其他客户的性能。
首先,试图找出他们做了什么。 他们是否设法注入代码或SQL? 他们修改你的数据库吗? 他们可以访问他们不应该访问的数据?
你的描述听起来就像只做了一些随意的“攻击”而没有造成实际的伤害。 在这种情况下,请尝试为那些尚未获得安全保护的攻击build立防御。 所以用一些validation码武装你的论坛。
预防:validation码可以帮助。 还有一些工具会再次检查你的网站的安全问题。 你可能想要使用这样的工具。
警报/限制:取决于环境和您的主机。 您可以随时添加一个IP检查到您的网页,只是返回一个拒绝访问特定的IP,但一)我猜IP不会被修复,下一次,有人无辜将获得IP和B)经常有几个用户一个IP(公司代理)。 所以阻止知识产权似乎不是一个好主意。
如果你使用的是linux,'iptables'允许你自由地select一个策略来限制来自IP地址或IP地址范围的新连接。 尝试:
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 120 / minute -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP
我认为阻止IP是一个好主意。 validation码可以防止垃圾邮件,但每小时16000个请求会增加服务器负载。
如果攻击源自有限范围的IP,那么我只是简单地在iptables中阻止所有这些攻击。 然后一周后解除阻止。
如果您还没有它,请确保您的站点正在loggingIP。 您可以在www.dnstuff.com上免费获得IP WHOIS,以查看IANA认为IP地址的来源。 在许多情况下,它也提供了IP地址的注册商或ISP,您可以直接与他们联系报告。
显然,你可以暂时阻止IP地址,唯一的问题就是有那么多的ISP使用DHCP地址,即使攻击者今天拥有这个IP地址,它的明天也可能会不同,更重要的是合法用户可能会得到被阻止的IP地址。
您的网站托pipe在哪里? 如果攻击发生在一段时间内,比如说10分钟,它应该会在某个地方触发DDOS报警,因为在这段时间内站点的正常数量可能不是那么多。 像梭子鱼这样的设备的devise,实质上阻止了这些请求,当它们进入太快时。 IIS也有类似的function,如果太多的请求同时到达,它会认为它正在被攻击,并在很多情况下会转储连接。 许多SharePointsearch安装都存在这个问题,因为search索引器很快就需要很多东西。
希望这有点帮助,或给你一些想法,看什么。 你可以在网站上添加CAPTCHA和其他东西,但最终这类攻击归结为TCP / IP和设备识别攻击并防止或杀死它,你的网站只能做很多工作来保护自己。