我们有一个网站似乎遭受拒绝服务攻击。 有几个IP地址涉及到这些都注册到Facebook。
以下是Apache日志文件的摘录:
173.252.73.119 - - [29/Aug/2013:14:22:14 +0100] "GET /blog/?s=224im089cz+pofmv90+4445u422bmw+5iaa1nxh4j1+ppabi%2Gjewl_biochemist++ HTTP/1.1" 200 179 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)" 正如你所看到的,请求的URL是有效的,但是包含一个乱码查询string。 每秒有数百个这样的请求。
我在想,IP地址和引用者都是伪造的。 即使上面的URL在Facebook上发布/共享,也不能解释来自同一个IP地址和引荐来源的其他数千个随机请求。
虽然我们可以通过我们的防火墙阻止IP地址,但还有其他IP地址正在被使用(所有已经注册到Facebook),我们不想阻止Facebook,如果他们没有真正的责任。
这些攻击的来源是否可能来自其他地方?我们如何才能减轻这些攻击?
这些命中是当Facebook查询您的服务器抓图像或文本摘录,命名一些事情。 例如,如果一个链接被张贴并且被病毒传播,它将被所述链接的每个视图加载。 您可以联系[email protected]以便他们查看,也可以确定链接是否真实有效。
请注意,这不是一个拒绝服务攻击,但您的服务器无法应付stream量的涌入。 拒绝服务攻击只会使您的网站无法使用,而这只是一个繁忙的服务器。
我不认为这是Facebook。
你有没有尝试过访问这个URI – 也可能是服务器被攻破,实际上这里有东西在监听。 你在这里得到一个HTTP状态100 – 正在发生 – 这不是一个File not Found 。
请深入研究一下 – 如果安装了webshell,它将被隐藏。 看看这里如何可能看起来像这样结束: http : //daniel-khan.at/index.php/2013/05/12/webserver-attack-deconstructed/
在所有其他情况下(这实在是一个虚假的URI,什么都没有指出):
如果你得到很多的命中,你可以使用iptables的限制http://thelowedown.wordpress.com/2008/07/03/iptables-how-to-use-the-limits-module/
如果blog不是一个有效的path,尝试在.htaccess中阻止它
<Directory /blogn> Order Deny,Allow Deny from all </Directory>
这样服务器不会有太多的负载,机器人可能会感到厌倦。