Не уверен, что SO - правильный форум, но нам нужна помощь, и, возможно, программные элементы могут составить окончательное решение. Вместо того, чтобы голосовать против, пожалуйста, порекомендуйте, где разместить этот вопрос, и мы с радостью удалим его из SO. Спасибо - мы просто хотим преодолеть эту атаку.
Похоже, что наш сайт электронной коммерции подвергся атаке со стороны ботнета, в результате чего наш сайт не работает. Мы получаем 50-100 запросов в секунду (намного больше обычного трафика). Некоторые запросы относятся к устаревшим URL-адресам, которые обычно недоступны с сайта.
Два вопроса:
1) Как мы подтверждаем, что сайт атакован?
2) Если сайт атакован, как мы можем отразить атаки и предотвратить будущие?
Мы ценим любую помощь или руководство, которое кто-либо может предложить.
Мы используем Tomcat 6.0. (Не спрашивайте почему. Вы не хотите знать.)
Спасибо!
(edit: я только что видел ваш комментарий о том, что вы используете Windows. Тогда это вам не поможет :()
Если вы можете, пусть ваш сетевой провайдер обнуляет трафик.
Вы также можете сделать что-то вроде этого, чтобы ограничить количество подключений на исходный IP-адрес:
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 -j DROP
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
Это устанавливает ограничение не более 10 новых подключений за 60 секунд. Для указанного порта (ssh) это нормально, но порт 80 должен будет обрабатывать больше при нормальных условиях (каждое изображение, файл javascript и т. Д. Является соединением).
Придется поэкспериментировать, но я бы начал с:
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 60 --hitcount 100 -j DROP
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
Предполагается, что вы не используете порт 443.