在我的apache访问日志中,我得到了每分钟数百个这样的数据
my.server.ip.address mysite.com:80 27.145.135.56 - - [14/Dec/2016:07:37:30 +1100] "\x16\x03\x01" 400 0 "-" "-" 大约一两分钟之后,我的Apache崩溃了。
我试图将IP地址添加到我的iptables
iptables -A INPUT -s 27.145.135.56 -j DROP
但是当我看着iptable条目,它不知何故成为下面
DROP all -- cm-27-145-135-56.revip12.asianet.co.th anywhere
但更大的问题是,我仍然看到apache日志条目。
我能做些什么来解决这个问题? 现在,我需要重新启动Apache来让我的网站重新运行。 仅供参考,我在Linode。
严格来说,这不是一个DDOS攻击。 DDOS攻击起源于许多不同的IP地址(第一个D表示分布式)。
我甚至不确定你是否受到任何forms的攻击。
您可以使用您提到的防火墙规则(确保iptables已启动并正在运行)阻止来自单个IP的请求,也可以使用apache .htaccess文件阻止此IP:
order allow,deny deny from 27.145.135.56 allow from all
你有没有在80端口的VirtualHost设置里configuration'SSLEngine On'?
\ x16 \ x03 \ x01似乎与SSL错误相关联,并且来自您的错误日志引用端口80。
我会检查你的Apacheconfiguration在你的SSLconfiguration中的任何错误。
你可以在iptables中使用速率限制…一个类似于下面的新规则只允许每个IP地址有20个连接:
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset