Я обнаружил странные подключения к своему веб-серверу с 10 разных IP-адресов в одной подсети. 46.229.168.0/23.
Эта подсеть принадлежит хостинг-провайдеру и вряд ли представляет реальных пользователей.
После этого я заблокировал их через iptables.
Я пытаюсь понять, не подвергаюсь ли я DDOS-атаке?
Я побежал:
iptables -L -v -n
и получил следующий результат:
Chain INPUT (policy ACCEPT 2141K packets, 1607M bytes)
pkts bytes target prot opt in out source destination
158K 9369K DROP tcp -- * * 46.229.168.0/23 0.0.0.0/0 tcp dpt:80
9369K - посылки сбрасывались за 24 часа.
Достаточно ли сказать, что это DDOS-атака?
Это около 100 оборотов в секунду. Не похоже на настоящий DDoS. Возможно, кто-то пытается сделать DDoS-атаки на ваш сервер, но это выглядит нелепо.
Он слишком мал, чтобы быть DDoS-атакой по пропускной способности, но это само по себе не означает, что он не пытается использовать что-то на вашем веб-сервере ни для DoS на уровне приложения, например, уязвимости заголовка Range, ни для спама.
Вы не говорите «странного» о связях. Трудно объяснить умеренный объем трафика может означать, что вы участвуете в отражающей атаке, а жертва DRDoS находится где-то еще, что обычно обозначается поддельным IP-адресом (уровень 3 DRDoS) или URL-адресом (уровень 7). Например, если вы видите много полуоткрытых SYN_RECV подключения, затем убедитесь, что tcp_syncookies включен. DRDoS уровня 7 - это что-то вроде xmlrpc.php звонки в WordPress.
Однако вы указываете диапазон IP-адресов, и это связано с агрессивным ботом, называемым SEMrushBot как вы можете видеть из User-Agent в журналах. Кажется, это своего рода третичная услуга, которая не представляет ценности для вас или ваших посетителей, поэтому, возможно, стоит заблокировать robots.txt как это предполагает.
User-agent: SemrushBot
Disallow: /
User-agent: SemrushBot-SA
Disallow: /
или просто брандмауэр подозрительных диапазонов.