Прямо сейчас я подвергаюсь DDOS-атаке, и зомби злоумышленника отправляют POST-запросы на одну из моих страниц. Сначала nginx отвечает всего через несколько секунд, но через некоторое время он начинает накапливаться; nginx тратит 10 минут на то, чтобы ответить на эти запросы! Но почему? Не понимаю почему. Я даже не могу понять, почему не могу это остановить.
У меня есть такой набор:
client_header_timeout 5;
client_body_timeout 5;
keepalive_timeout 5 30;
send_timeout 5;
Так не следует ли тайм-аут через 5 секунд? Почему это продолжается до 600 секунд и более? Есть ли способ выяснить, что это за атака? Медленный заголовок? Медленная POST? Как мне определить, что это за атака и как ее остановить?
Также следует отметить, что соединения проходят через балансировщик нагрузки и обратный прокси-сервер Squid Cache, поэтому единственный способ прочитать истинный IP-адрес клиентов - это использовать определенные HTTP-заголовки.
Так будет сложно понять это; Я бы предложил полный пакет tcpdump одного из источников DDoS, а затем проанализировать, что он делает, в wirehark или другом инструменте для проверки захваченных данных.