被 DDos 了,有没有办法屏蔽此类请求

2015-08-31 12:09:17 +08:00
 falcon05
网站被 DDos 了,按并发数禁 IP 收效甚微,从 nginx 的日志看来,这些请求结构有一定的特征的,比如没有请求方法,没有 UA ,请问 v 友有没有办法根据特征屏蔽掉这种请求。

这是 DDos 的请求:
113.133.166.96 - - [31/Aug/2015:11:29:38 +0800] "\x00" 400 166 "-" "-"
58.247.144.237 - - [31/Aug/2015:11:29:42 +0800] "" 400 0 "-" "-"
119.112.169.61 - - [31/Aug/2015:11:26:40 +0800] "nvocpdwbjgsjuupjwgaslvvaidp
qxupzflbpklfxelasstrmmjfqeyovczpclgzkltacuqqajmdkoliymtqwgosrpkcfuvldswwxwgj
dunhqxknw" 400 166 "-" "-"

这是正常请求:
123.125.67.215 - - [31/Aug/2015:11:27:49 +0800] "GET /news/20110808/157775.h
tml HTTP/1.1" 301 178 "-" "Mozilla/5.0 (Windows NT 5.1; rv:6.0.2 ) Gecko/2010
0101 Firefox/6.0.2"
2042 次点击
所在节点    问与答
10 条回复
oott123
2015-08-31 12:16:25 +08:00
这种 nginx 看到没有请求方法自己就 400 了吧…
主要是量大了的话 靠 nginx 扛不住
上个 waf 吧 这种分分钟过滤掉的
bobopu
2015-08-31 12:19:01 +08:00
为何没有上 WAF/CDN
Showfom
2015-08-31 12:22:52 +08:00
这是 CC 不是 DDoS

简单的屏蔽 IP 和这种 useragent 就是了。
dzxx36gyy
2015-08-31 12:23:10 +08:00
话说没有 ua 的话就禁掉空 ua 的访问啊,而且我觉得这应该算是 cc 吧(虽然貌似 cc 也是 dd 的一种)
falcon05
2015-08-31 12:40:05 +08:00
现在想到的办法是,准备从 nginx 日志中提取这些特征的 IP ,在 iptables 直接 DROP 掉。

不知道有没其他办法?
ivmm
2015-08-31 12:40:45 +08:00
@oott123 可惜没有支持 443 的
falcon05
2015-08-31 13:04:11 +08:00
@oott123
@bobopu
用啥 WAF 靠谱呢?
hcymk2
2015-08-31 13:23:09 +08:00
@falcon05
其实可以用 fail2ban 。
hicdn
2015-08-31 14:01:52 +08:00
@falcon05 www.jiasule.com 支持 https
bobopu
2015-08-31 16:27:07 +08:00
@falcon05 国内的这个几个很多啊,百毒数字减速乐。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/217277

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX