自从现在大约两周以来,我们一直在受到攻击,并且尽我们所能去保护新航。 现在mod_reqtimeout正在做这个工作,但我很困惑,因为他们在做什么
我发现这个post服务器在DDOS攻击 – 如何找出IP? 跑了
cut -f 2 -d '"' yourweblog.log|cut -f 2 -d ' '|sort|uniq -c|sort -nr|more 结果是奇怪的
548308 - 4517 / 31794 http://www.mysite.com/
这是什么 – ?
交通尾巴显示数百个
186.153.249.149 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-" 201.240.116.165 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-" 201.240.116.165 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-" 190.42.110.72 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-" 190.42.110.72 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-" 190.40.68.68 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-" 190.40.68.68 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-" 186.1.87.251 - - [12/Aug/2013:16:31:29 -0500] "-" 408 - "-" "-" 186.1.87.251 - - [12/Aug/2013:16:31:29 -0500] "-" 408 - "-" "-" 189.252.92.187 - - [12/Aug/2013:16:31:29 -0500] "-" 408 - "-" "-" 189.252.92.187 - - [12/Aug/2013:16:31:29 -0500] "-" 408 - "-" "-"
而408则是mod_reqtimeout将其丢弃
任何帮助表示赞赏
你有控制服务器? 如果是这样,你有root权限,我会build议去apache下面一层,数据包捕获界面寻找这些IP地址。
tcpdump -n -A -s0 -i <interface> host 186.153.249.149 or host 201.240.116.165...
像这样如何获得http请求的tcpdump的细节?
你也可以用-W标志写-W somefile.pcap到pcap文件,然后用wireshark或其他数据包检查程序打开它。 在这个级别上,你应该能够看到HTTP请求之前,点击Apache。 否则,我会build议粘贴日志的样本部分,以便我们可以推荐正确的文本filter。 日志格式因configuration而异。
tcpdump有很多选项,学习曲线很难,但function非常强大。 你可以得到一个请求的URL的stream,因为它们被送到服务器,然后交给Apache。