В моем журнале доступа к apache я получаю ... сотни таких сообщений в минуту
my.server.ip.address mysite.com:80 27.145.135.56 - - [14/Dec/2016:07:37:30 +1100] "\x16\x03\x01" 400 0 "-" "-"
Примерно через минуту или две мой Apache вылетает.
Я попытался добавить этот IP-адрес в свои iptables
iptables -A INPUT -s 27.145.135.56 -j DROP
Но когда я смотрю на записи iptable, они почему-то становятся ниже
DROP all -- cm-27-145-135-56.revip12.asianet.co.th anywhere
Но большая проблема в том, что я все еще вижу запись в журнале apache.
Что я могу сделать, чтобы решить эту проблему? Прямо сейчас мне нужно перезапустить Apache, чтобы мой сайт снова заработал. К вашему сведению, я на Линоде.
Возможно, вы настроили SSLEngine On внутри настройки VirtualHost на порту 80?
\ x16 \ x03 \ x01, похоже, связан с ошибками SSL, а строка из вашего журнала ошибок ссылается на порт 80.
Я бы проверил вашу конфигурацию Apache на предмет ошибок в вашей конфигурации SSL.
Строго говоря, нет, это не DDOS-атака. DDOS-атаки происходят с множества разных IP-адресов (первая буква D означает «распределенные»).
Я даже не уверен, что на вас нападают.
Вы можете заблокировать запросы с одного IP-адреса, используя указанное вами правило брандмауэра (убедитесь, что iptables запущен), или вы можете заблокировать этот IP-адрес с помощью файла apache .htaccess следующим образом:
order allow,deny
deny from 27.145.135.56
allow from all
Вы можете использовать ограничение скорости в iptables ... Новое правило с чем-то вроде следующего разрешит только 20 подключений на IP-адрес:
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset