我发现来自10个不同的IP地址,具有相同的子网46.229.168.0/23我的networking服务器的奇怪的连接。
这个子网属于一个托pipe服务提供商,很难代表真正的用户。
之后,我通过iptables阻止了他们。
我试图了解我是否被DDOS攻击?
我跑了:
iptables -L -v -n
并得到以下输出:
Chain INPUT (policy ACCEPT 2141K packets, 1607M bytes) pkts bytes target prot opt in out source destination 158K 9369K DROP tcp -- * * 46.229.168.0/23 0.0.0.0/0 tcp dpt:80
9369K – 包被丢弃了24小时。
这是否足以说这是一个DDOS攻击?
由于带宽太小而无法进行DDoS,但这本身并不意味着它不会尝试利用Web服务器中的某些内容,例如Range头部漏洞等应用层DoS或垃圾邮件。
你不要说连接有什么“奇怪的”。 难以解释的适度的stream量可能意味着您正被选入reflection式攻击,DRDoS受害者在其他地方,通常由欺骗性IP地址(第3层DRDoS)或URL(第7层)来表示。 例如,如果看到大量的半开SYN_RECV连接,则确保tcp_syncookies已打开。 第7层DRDoS就像在WordPress中调用xmlrpc.php一样。
但是,您提供的是IP范围,这与您在日志中可能从User-Agent中看到的名为SEMrushBot的侵略性bot有关。 这似乎是一种三重服务,对您或您的访客没有任何价值,所以可能值得在robots.txt阻止它。
User-agent: SemrushBot Disallow: / User-agent: SemrushBot-SA Disallow: /
或者只是防火墙的可疑范围。
大约100rps。 看起来不像真正的DDoS。 可能是有人试图对你的服务器做DDoS,但看起来很可笑。