我们的networking服务器(Nginx,MySQL,PHP)目前正在被DDOS攻击。
传出stream量是正常的(平均563 kb /秒),但传入的stream量是吃我们的1gbit端口(平均800Mb /秒)。
在Nginx的访问日志中,我注意到一个POST请求到一个499的错误来自10-15个唯一的IP地址,一直到已经安装的支持票务系统(/support/index.php – 正在运行OSTicket)。 我在iptables中阻止了这些IP上的INPUT / OUTPUT。 我不认为这做了什么,但它是奇怪的,考虑到这些IP几秒钟重复POST请求。
如何查明有问题的IP并阻止它们发送大量传入的请求?
编辑:这是打印输出的iptables -L -v http://pastebin.com/cyGLKJh4
短期 – 请您的主机/ ISP阻止他们的IP级别
更长期的 – 尝试追踪这些IP(或提供它们的ISP)的所有者,并告诉他们他们已经被入侵并被用作DDOS僵尸networking的一部分
如果他们直接使你的pipe道饱和,那么他们不需要发出HTTP请求,甚至不需要通过iptables规则 – 将stream量路由到设备就足以阻止服务。
考虑到这一点,你当然可以用tcpdump来识别源主机 – 但是,如果没有让你的ISP或提供商参与,你真的无法做任何事情,因为它们需要阻塞路由器上的stream量,防火墙在发送到您的设备之前做任何好的事情。