我的一个网站正在遭到一些IP的攻击。 我甚至不知道它是不是ddos,我只知道它填写我的应用程序的日志超过一天,然后服务器崩溃,由于mysql的内存使用情况我猜(我收到一个webmin的自动电子邮件说mysql掉了)
我可以访问Iptables,但是我不确定是否希望它被填充阻塞的ips。
我只是想知道这种情况下最常见的做法是什么,我对服务器pipe理相对来说比较陌生。
我正在使用Linux Centos,Apache,Php和MySQL
Fail2Ban( http://www.fail2ban.org/ )可以与防火墙(如iptables)一起工作来监视日志文件,并根据各种规则自动添加规则来阻止某些IP,例如一定数量的错误密码尝试。
如果您发现IP地址是攻击的地址,那么您可以按照相同的步骤进行操作。 这是常见的,也是这种情况下的有效实践。 之后,要更加仔细地监视服务器,并确保没有其他IP正在进行攻击。
如果您发现IP表规则难以pipe理,请使用CSF。
CSF是IPtable规则的前端。
根据您的基础设施,有几个选项。 您是否正在使用边缘安全设备,如硬件防火墙(PIX,ASA,Sonicwall,Watchguard,Firebox等)? 如果是这样的话,你可以将IP的黑洞(build立一个规则,把所有的数据包发送到一些不存在的子网,或者蜜jar,/ dev / null等等)。 您也可以将设备configuration为放弃他们收到的所有内容。
如果你的服务器本身直接在互联网上或在DMZ中,你可以设置iptables / ipchains来放弃这个IP组的所有内容。 如果问题来源于一个僵尸networking,因为潜在的IP池可能是不可思议的,那么你的问题会更糟。
你可以用iptables限制每个ip的连接。
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset