Web*_*net 23 linux ddos apache-2.2
我的服务器受到 DDOS 攻击,我想阻止正在执行此操作的 IP,我应该查找哪些日志来确定攻击者的 IP?
use*_*482 45
tail -n 10000 yourweblog.log|cut -f 1 -d ' '|sort|uniq -c|sort -nr|more
查看排名靠前的 IP 地址。如果有任何脱颖而出,那些将是防火墙。
netstat -n|grep :80|cut -c 45-|cut -f 1 -d ':'|sort|uniq -c|sort -nr|more
这将查看当前活动的连接以查看是否有任何 IP 连接到端口 80。您可能需要更改 cut -c 45- 因为 IP 地址可能不会从第 45 列开始。如果有人正在执行 UDP 洪水您的网络服务器,这也将接收它。
如果这些 IP 都没有显示任何过度超出规范的 IP,则您需要假设您有一个僵尸网络攻击您,并且需要在日志中查找特定模式以查看它们在做什么。针对 wordpress 网站的常见攻击是:
GET /index.php? HTTP/1.0
如果您查看网站的访问日志,您可能会执行以下操作:
cut -f 2 -d '"' yourweblog.log|cut -f 2 -d ' '|sort|uniq -c|sort -nr|more
这将向您显示最常点击的 URL。您可能会发现他们正在执行特定脚本而不是加载整个站点。
cut -f 4 -d '"' yourweblog.log|sort|uniq -c|sort -nr|more
将允许您查看常见的 UserAgent。他们有可能在攻击中使用单个 UserAgent。
诀窍是找到与正常流量中不存在的攻击流量的共同点,然后通过 iptables、mod_rewrite 或上游与您的虚拟主机过滤。如果您遇到了 Slowloris,Apache 2.2.15 现在有 reqtimeout 模块,它允许您配置一些设置以更好地防止 Slowloris。