Мой сайт атакован. За последние 2 дня я идентифицировал и заблокировал ~ 20 IP-адресов, особенно из Китая (и Тайваня, Малайзии, Египта, Ирландии, Испании и России).
Вот некоторые из 20 ips:
95.74.78.55
222.124.156.230
113.108.166.57
125.41.130.120
115.64.76.208
210.5.147.148
117.139.54.192
118.100.12.250
58.251.109.127
61.50.164.157
217.217.131.108
41.236.224.217
151.82.45.148
Есть ли способ понять, почему это происходит, и, возможно, выяснить, кто является уполномоченным?
Эти ip запрашивают один и тот же файл тысячи раз в минуту. Я блокирую один IP после того, как он сделал 250 запросов.
Если это действительно распределенная DoS-атака (откуда вы знаете? Если есть просто попытки подключения, это может быть просто вредоносное ПО ...), она обычно выполняется через эксплуатируемые ботнетом и троянские компьютеры неизвестных людей, контролируемые какой-то третьей партия. Существует мало шансов узнать, кто за этим стоит, но если у вас есть больше доказательств, большее влияние на доступность вашего сайта и, возможно, письмо с шантажом, вам следует передать данные в полицию.
Это происходит потому, что у вас есть система, подключенная к Интернету. Конечно, могут быть и другие причины почему именно ты сейчас, но вы должны понимать, что работа с подобными вещами - это просто часть затрат на присутствие в Интернете.
Как вы определяете, что они нападают на вас? Какую форму принимает атака? На данный момент вы не предоставили нам никакой информации, которая могла бы помочь вам выяснить, есть ли у вас конкретная проблема.
Продолжайте блокировать IP-адреса, как вы это уже делаете. Мне кажется, что злоумышленник, нацеленный на ваш сайт, имеет довольно ограниченные ресурсы (20 IP-адресов - это очень мало). Ваш веб-сайт может быть преднамеренной целью или это может быть случайная цель, выбранная для проверки возможностей DoS их небольшой сети ботов или оболочек. Атака, вероятно, продлится недолго, особенно если они увидят, что она неэффективна.
Вы также можете просто заблокировать целые диапазоны IP-адресов, если у вас никого нет в Китае или у Тайваня есть какие-либо дела (например, не блог, а веб-сайт компании, которая не ведет бизнес в Китае или России). Хотя это не остановит полную атаку ботнета, это должно помочь немного снизить давление
Просто заблокируйте подсеть Китая с помощью iptables