web-dev-qa-db-ja.com

中国の誰かが私のエントリ帯域幅を殺したいですか?

2つの異なるIPを持つ中国のSomeoenが、私のサーバーから同じ大きなファイルをダウンロードしています。彼らのIPは次のとおりです。

  • 122.89.45.210
  • 60.210.7.62

彼らはこのファイルを要求し、1分間に20回以上ダウンロードします。

これを防ぐために何ができますか? (私はrootアクセスでgentooを使用しています)

そして、なぜ彼らは中国とは何の関係もないサイトにこれを行うのですか?

ADD1:

その他のips:

  • 221.8.60.131
  • 124.67.47.56
  • 119.249.179.139
  • 60.9.0.176

ADD2:

愚かなことは、彼らが1つのファイルだけを要求しているということです笑。または彼らはそのファイルを削除したい(理由はわかりません)または彼らはかなり愚かです

ADD3:

状況は悪化しています。 IPは他の国からも広がっています(www.geobytes.com/iplocator.htmが正しい場合は米国と韓国)そして今、彼らは別のファイルを要求しています。

ADD4:

彼らは私がそのファイルを削除したことに気付いた後のようです 彼らは私を攻撃するのをやめました。状況を監視します。

彼らは同じファイルで3〜4分の睡眠の後に再び始まりました(幸運な私)。なぜこれが起こっているのかを言うのは難しい

2
dynamic

たった2つのIPアドレス... iptablesを使用してIPを簡単にブロックできます

iptables -I INPUT -s 122.89.45.210 -j DROP
iptables -I INPUT -s 260.210.7.62 -j DROP

[〜#〜]編集[〜#〜]

IPアドレスが増えているので、もう少し抜本的なことを検討することをお勧めします。中国のIPアドレスにサービスを提供する必要はありますか?そうでない場合は、次のサイトを使用して、国全体をブロックするのに役立てることができます。結果を.htaccessファイルにスローするだけです。

http://www.blockacountry.com

別の編集

すべてのリクエストに共通するものは他にありますか?ユーザーエージェントは同じですか?これは、攻撃をブロックするのに簡単に役立ちます。

4
Jason Berg

サーバーで使用しているOSはわかりませんが、UNIX(Debian、Ubuntu、Slackwareなど)ディストリビューションだと思います。
DoSから身を守る簡単な方法は、Fail2Banをインストールすることです( http://www.fail2ban.org/wiki/index.php/Main_Page )。インストールと使用は簡単です。 ssh dos攻撃が大量に発生するため、SSH保護に使用しています。プログラムはログファイルをスキャンし、繰り返されるメッセージ(つまり、ログインの失敗、状況に応じた多くの接続)をチェックします。

Webサーバーのログファイルを正しく読み取るには、少し調整する必要があります。それができれば、アクセスを制限できます。つまり、1秒間に1ipでGETリクエストの試行を50回制限できます。しきい値に達すると、IPアドレスはX時間禁止されます。これにより、帯域幅を節約でき、この攻撃が別のアドレスから発生するかどうかを心配する必要がなくなります。

これがお役に立てば幸いです:)


編集1:

それらを制限できるApache用のモジュールがあることを思い出しました-mod_evasive。個人的には使ったことがありませんが、多くの人が「いいもの」と呼んでいます。私はあなたを助けるかもしれないあなたのためのチュートリアルを見つけました--- http://www.mydigitallife.info/2007/08/15/install-mod_evasive-for-Apache-to-prevent-ddos-attacks/ それをチェックして、それがあなたのニーズに合うかどうかを確認してください。

2
tftd

あなたがする必要があるのはあなたの上流のプロバイダーに連絡することです。ほとんどの場合、ルートddos攻撃は無効になります。米国のIPは、それらのIPがあなたを攻撃していることをISPに伝え、彼らは通常、あなたの問題を覆っているボットである習慣に話しかけるので、なぜそれが主にアジア諸国から来ているのか。

1
Jacob

このDDoSはどのような影響を引き起こしていますか?

CPU使用率の場合は、nginxなどに切り替えて、静的コンテンツを提供してみてください。

帯域幅の場合は、mod_bandwidthなどを使用してレート制限リクエストを実行できます。

覚えておくべきことの1つ:私は以前にこのような状況を見たことがあります。攻撃ではなく、代わりに「ダウンロードアクセラレータ」を使用している人々です。これらは、より多くの接続=より多くの帯域幅という(誤った)考えに基づいて、サーバーへの大量の接続を一度に開きます。これを修正するために、ポート81にnginxをインストールし、いくつかの.htaccessルールを使用して、コンテンツをnginx経由でのみダウンロードするように強制しました。 Nginxは汗をかくことなくリクエストを処理し、Webサーバーの再構成について心配する必要も、正当なユーザーのトラフィックを遅くする必要もありませんでした。

0
devicenull