Я работаю с сервером apache 2.2, который получает много запросов на контент, который не существует на сервере (редактировать: конкретный запрос контента часто меняется). Похоже, что это атака со стороны кого-то, имеющего доступ к большому количеству взломанных веб-сайтов, потому что запросы поступают из самых разных источников и все они были запущены одновременно. Они также исследуют сервер на предмет распространенных уязвимостей, таких как /admin.php и т. д. на протяжении всей атаки.
Пример из журналов доступа:
"Get /picofperson.jpg HTTP/1.1" 404 201 "http://www.somerealwebsiteaddress.com/regular/13/3.html" "Mozilla/3.0 (Windows NT 6.3; WOW)"
Вопрос: Каков хороший способ смягчить этот тип атаки и имеет ли этот тип атаки официальное название помимо ddos?
В настоящее время я блокирую необычные пользовательские агенты и запросы от определенных источников перехода, но атака продолжает трансформироваться.
Вы не упомянули, какой веб-сервер используете - добавьте эту информацию.
Если это apache, вы можете использовать модуль mod_evasive, который предназначен для борьбы с распределенными атаками отказа в обслуживании (ddos-атаками).
Он предлагает возможность автоматически блокировать доступ для IP-адресов, которые обращаются к одним и тем же URL-адресам снова и снова, в зависимости от различных настраиваемых параметров.
См. Здесь краткий обзор: http://www.zdziarski.com/blog/?page_id=442
Это пример конфигурации: https://www.linode.com/docs/websites/apache-tips-and-tricks/modevasive-on-apache
А вот несколько советов по использованию fail2ban: http://briansnelson.com/Howto_install_mod_evasive_with_fail2ban
Вы должны быть осторожны с блокировкой легальных клиентов, которые демонстрируют поведение, подобное ddos, например, скрипты, регулярно обращающиеся к серверу для некоторых проверок или аналогичных (они могут быть внесены в белый список).