Наш веб-сервер (Nginx, MySQL, PHP) в настоящее время подвергается атаке DDOS.
Исходящий трафик нормальный (в среднем 563 Кб / сек), но входящий трафик - это то, что съедает наш 1-гигабитный порт (в среднем 800 Мбит / сек).
В журнале доступа Nginx я заметил, что запрос POST с ошибкой 499 поступает с 10-15 уникальных IP-адресов очень часто в систему заявок в службу поддержки с установленными (/support/index.php - запущенным OSTicket). Я заблокировал INPUT / OUTPUT на этих IP в iptables. Я не думаю, что это что-то сделало, но, тем не менее, это было странно, учитывая, что эти IP-адреса повторяли запрос POST каждые несколько секунд.
Как я могу определить проблемные IP-адреса и заблокировать им отправку массовых входящих запросов?
РЕДАКТИРОВАТЬ: Вот распечатка iptables -L -v http://pastebin.com/cyGLKJh4
Если они напрямую насыщают ваш канал, тогда им не нужно делать HTTP-запросы или даже проходить через ваши правила iptables вообще - маршрутизации трафика на ваше устройство достаточно для предотвращения обслуживания.
Имея это в виду, вы, безусловно, можете идентифицировать исходные хосты с помощью чего-то вроде tcpdump - но вы действительно не можете ничего сделать с точки зрения предотвращения без участия вашего интернет-провайдера или провайдера, поскольку им нужно будет заблокировать трафик на маршрутизаторе или брандмауэре, прежде чем он будет отправлен на ваше устройство, чтобы принести пользу.
Кратковременный - попросите вашего хоста / провайдера заблокировать IP-адреса на их уровне
В долгосрочной перспективе - попробуйте отследить владельцев этих IP-адресов (или провайдеров, которые их предоставляют) и сообщить им, что они были скомпрометированы и используются как часть ботнета DDOS.