Наш сайт наводнен веб-запросами, которые, похоже, являются атакой DOS.
мы пытались переключить IP-адрес, но, к сожалению, атака происходит на уровне доменного имени, а не на уровне IP ...
любая помощь будет оценена.
Есть ли что-нибудь похожее на все запросы (кроме запроса на /)? Я видел несколько слабых попыток DoS, когда злоумышленник использовал одну и ту же строку пользовательского агента для всей атаки.
Если это так, вы можете просто сбрасывать запросы для этих строк пользовательского агента, используя mod_rewrite (если вы используете apache):
RewriteCond %{HTTP_USER_AGENT} TheBadUserAgentStringHere
RewriteRule .* - [F,L]
Это не позволяет вашему веб-серверу тратить время на отображение вашей домашней страницы для этих запросов, и он возвращает запрашивающей стороне сообщение 403 / Forbidden.
Если они нажимают GET / HTTP / 1.0, как говорит rackerhacker, если вы видите что-то подобное в строках UserAgent, вы можете попробовать отфильтровать это. Если ваш сайт является динамическим, вы можете подумать о том, чтобы поставить Varnish впереди и жестко запрограммировать TTL в 5 минут или более для домашней страницы, что снимает нагрузку с Apache и устраняет ряд других потенциальных векторов атаки.
Если вы не используете Apache 2.2.15+, следующей атакой, вероятно, будет атака вампира, для предотвращения которой был написан новый модуль request_timeout. Varnish / Squid и Nginx, Lighttpd и т. Д. Уже защищают от него из-за того, как они обрабатывают трафик.
Вы должны противостоять атаке, но, когда они видят, что их усилия не работают, они меняют тактику.
Вы также можете узнать, есть ли у вашей хостинговой компании какие-либо процессы, помогающие идентифицировать входящую атаку и бороться с ней.
Фактически мы использовали решение Preventier от Rackspace, которое остановило атаку.