可能的DDoS攻击？

Question

截至7月4日，我的访问日志中有数百行相同的请求。在这个日期前后的几个小时里，这个问题出现了上千次：

86.128.198.216 - - [22/Jul/2011:00:44:16 +0100] "GET /404.htm HTTP/1.1" 302 414 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; GTB7.1; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; .NET4.0C)"

还有其他的--在上面的代码行之前，有数百个这样的例子：

92.23.237.48 - - [21/Jul/2011:23:36:24 +0100] "GET /404.htm HTTP/1.1" 302 414 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; GTB6.6; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; eSobiSubscriber 2.0.4.16; .NET4.0C; InfoPath.1; BRI/2)"

以及许多其他类似的IP，它们请求404.htm数百/数千次。因此，我们已经超过了我们的100 we的带宽，我们的网站目前停机。

这个网站很小(一个月的访问量只有2-3000次)，我真的搞不清楚到底是怎么回事。任何帮助/建议都将不胜感激，因为我通常不会与网络管理员打交道，因为直到几个月前，我们还只有一个人专门处理这件事。

等待我的网络托管公司解决这个问题是痛苦的。

谢谢,

富足

Answer 1

我不是专家，但以下是我的发现：

一种常见的攻击方法是用外部通信请求使目标机器饱和，使其无法响应合法通信量，或者响应速度过慢而实际上变得不可用。一般而言，DoS攻击是通过以下方式实现的:强制目标计算机重置，或消耗其资源以使其不能再提供其预期服务，或阻挡预期用户与受害者之间的通信媒体以使他们不能再充分通信。

你的情况似乎符合描述。下面是一些有用的链接：

• Best practices for detecting DOS (denial of service) attacks?
• How to protect a website from DoS attacks