DOS攻击问题

Question

我们的网站上充斥着网络请求，这似乎是DOS的攻击。

• 都在80号港口
• 数据包大小的分布不是正常的web流量。
• 33%的数据包是64或66个字节。
• 75%的数据包是128字节或更少。
• 99%的数据包小于256个字节。
• 我们正在运行10K数据包/秒。
• 在第5秒钟的窗口中，我们看到了来自822个不同IP地址的web请求。
• 所有请求均为/(主页)

我们试图切换IP地址，但不幸的是，攻击发生在域名级别，而不是IP级别。

任何帮助都将不胜感激。

Answer 1

实际上，我们最终使用了Rackspace的预防器解决方案，从而阻止了攻击。

Answer 2

对于所有请求(除了/请求之外)是否还有类似之处？我看到了一些弱的DoS尝试，攻击者在整个攻击中使用相同的用户代理字符串。

如果是这样的话，您可以使用mod_rewrite (如果使用apache)转储那些用户代理字符串的请求：

RewriteCond %{HTTP_USER_AGENT} TheBadUserAgentStringHere  
RewriteRule .* - [F,L]  

这样可以防止web服务器占用时间来呈现这些请求的主页，并且它会向请求者返回一个403/ for。

Answer 3

如果他们按GET / HTTP/1.0，就像黑客说的那样，如果你能在UserAgent字符串中看到类似的东西，你可以尝试过滤它。如果您的站点是动态的，您可以考虑在前面放置Varnish，并为主页硬编码5分钟或更长时间的TTL，这将从Apache中删除负载，并解决许多其他潜在的攻击向量。

如果您没有运行Apache 2.2.15+，那么下一次攻击可能是一个吸血鬼攻击，而新的request_timeout模块就是为了防止这种攻击。清漆/鱿鱼和Nginx，Lighttpd等，由于它们处理交通的方式，已经对它进行了保护。

你必须经受住进攻，但是，当他们看到自己的努力不起作用时，他们会改变战术。

您可能还会看到，您的主机公司是否有任何适当的进程来帮助识别和对抗传入的攻击。