Один из наших серверов сгенерировал 19 ГБ access.log в течение примерно 24 часов, и за это время сервер отключился. Мы хотели бы принять некоторые меры для защиты от DDOS-атак, но, глядя в журнал доступа, есть сотни GET запросы с фактического IP-адреса сервера, извлекающие кешированные файлы из mod_pagespeed.
Я смотрел на это руководство и, в частности, ограничение количества одновременных подключений с одного IP-адреса с помощью IP tables но из того, что я могу понять, сам сервер является основным виновником одновременных подключений (часто более 200 за раз) или доступ осуществляется с множества разных IP-адресов (в основном из Испании и Германии).
На момент написания этого IP-адрес сервера имел 225 одновременных подключений, но на самом деле сайт просматривали только два посетителя (один из них - я). Журналы содержат просто тонны этих GET-запросов от Serf / 1.1.0 mod_pagespeed / 1.9.32.1-4238.
Я прочитал много других вопросов SE / SF, включая ссылку на канонический, и я имею в виду, что это может показаться самоуверенным / запросом рекомендаций, но я действительно не уверен, на что мне нужно обратить внимание, чтобы защитить против всего, что происходит на этом сервере.
Сервер работает под управлением Linux CentOs 6.4 x86_64 и Apache.
С момента публикации этого вопроса я выполнил каждый шаг в это руководство.
Вы смотрели на Fail2Ban? Он был создан для решения именно той проблемы, которую вы описываете. Вы также можете решить эту проблему напрямую через iptables, как описано в этом посте