这是一个创建于 3371 天前的主题,其中的信息可能已经有所发展或是发生改变。
网站被 DDos 了,按并发数禁 IP 收效甚微,从 nginx 的日志看来,这些请求结构有一定的特征的,比如没有请求方法,没有 UA ,请问 v 友有没有办法根据特征屏蔽掉这种请求。
这是 DDos 的请求:
113.133.166.96 - - [31/Aug/2015:11:29:38 +0800] "\x00" 400 166 "-" "-"
58.247.144.237 - - [31/Aug/2015:11:29:42 +0800] "" 400 0 "-" "-"
119.112.169.61 - - [31/Aug/2015:11:26:40 +0800] "nvocpdwbjgsjuupjwgaslvvaidp
qxupzflbpklfxelasstrmmjfqeyovczpclgzkltacuqqajmdkoliymtqwgosrpkcfuvldswwxwgj
dunhqxknw" 400 166 "-" "-"
这是正常请求:
123.125.67.215 - - [31/Aug/2015:11:27:49 +0800] "GET /news/20110808/157775.h
tml HTTP/1.1" 301 178 "-" "Mozilla/5.0 (Windows NT 5.1; rv:6.0.2 ) Gecko/2010
0101 Firefox/6.0.2"
这是 DDos 的请求:
113.133.166.96 - - [31/Aug/2015:11:29:38 +0800] "\x00" 400 166 "-" "-"
58.247.144.237 - - [31/Aug/2015:11:29:42 +0800] "" 400 0 "-" "-"
119.112.169.61 - - [31/Aug/2015:11:26:40 +0800] "nvocpdwbjgsjuupjwgaslvvaidp
qxupzflbpklfxelasstrmmjfqeyovczpclgzkltacuqqajmdkoliymtqwgosrpkcfuvldswwxwgj
dunhqxknw" 400 166 "-" "-"
这是正常请求:
123.125.67.215 - - [31/Aug/2015:11:27:49 +0800] "GET /news/20110808/157775.h
tml HTTP/1.1" 301 178 "-" "Mozilla/5.0 (Windows NT 5.1; rv:6.0.2 ) Gecko/2010
0101 Firefox/6.0.2"
 |
1
oott123 2015-08-31 12:16:25 +08:00 via Android  1
这种 nginx 看到没有请求方法自己就 400 了吧…
主要是量大了的话 靠 nginx 扛不住 上个 waf 吧 这种分分钟过滤掉的 |
 |
2
bobopu 2015-08-31 12:19:01 +08:00 via iPhone
为何没有上 WAF/CDN
|
 |
3
Showfom 2015-08-31 12:22:52 +08:00 1
这是 CC 不是 DDoS
简单的屏蔽 IP 和这种 useragent 就是了。 |
 |
4
dzxx36gyy 2015-08-31 12:23:10 +08:00 1
话说没有 ua 的话就禁掉空 ua 的访问啊,而且我觉得这应该算是 cc 吧(虽然貌似 cc 也是 dd 的一种)
|
 |
5
falcon05 OP 现在想到的办法是,准备从 nginx 日志中提取这些特征的 IP ,在 iptables 直接 DROP 掉。
不知道有没其他办法? |
 |
9
hicdn 2015-08-31 14:01:52 +08:00
@falcon05 www.jiasule.com 支持 https
|
Select Language