Нас атакуют примерно две недели назад, и мы сделали все, что могли, чтобы защитить себя. mod_reqtimeout сейчас выполняет свою работу, но я смущен тем, что они бьют
Я нашел этот пост Сервер под DDOS-атакой - Как узнать IP? и побежал
cut -f 2 -d '"' yourweblog.log|cut -f 2 -d ' '|sort|uniq -c|sort -nr|more
результат странный
548308 -
4517 /
31794 http://www.mysite.com/
что это - ?
Хвост трафика показывает сотни
186.153.249.149 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
201.240.116.165 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
201.240.116.165 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
190.42.110.72 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
190.42.110.72 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
190.40.68.68 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
190.40.68.68 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
186.1.87.251 - - [12/Aug/2013:16:31:29 -0500] "-" 408 - "-" "-"
186.1.87.251 - - [12/Aug/2013:16:31:29 -0500] "-" 408 - "-" "-"
189.252.92.187 - - [12/Aug/2013:16:31:29 -0500] "-" 408 - "-" "-"
189.252.92.187 - - [12/Aug/2013:16:31:29 -0500] "-" 408 - "-" "-"
а 408 - это mod_reqtimeout, отбрасывающий их
приветствуется любая помощь
У вас есть контроль над сервером? Если это так, и у вас есть привилегии root, я бы предложил перейти на один уровень ниже apache и захватить пакет интерфейса, ищущего эти IP-адреса.
tcpdump -n -A -s0 -i <interface> host 186.153.249.149 or host 201.240.116.165...
Вот так Как получить подробную информацию о HTTP-запросах в tcpdump?
Вы также можете записать в файл pcap с помощью -W somefile.pcap с флагом -W, а затем откройте его в wirehark или другой программе проверки пакетов. На этом уровне вы должны увидеть HTTP-запрос до того, как он попадет в apache. В противном случае я бы предложил вставить образец раздела ваших журналов, чтобы мы могли порекомендовать правильный однострочный текстовый фильтр. Форматы журналов различаются в зависимости от конфигурации.
tcpdump имеет множество опций и требует сложного обучения, но он очень мощный. Вы можете получить поток запрошенных URL-адресов, когда они попадают на сервер, прежде чем они будут переданы в apache.