222.186.129.5 - - [19/Jun/2015:16:56:28 +0000] "POST http://123.249.24.233/POST_ip_port.php HTTP/1.1" 301 184 "http://123.249.24.233/POST_ip_port.phpAccept: */*" "Mozi$
222.186.30.111 - - [19/Jun/2015:16:56:29 +0000] "POST http://123.249.24.233/POST_ip_port.php HTTP/1.1" 301 184
IP 222.186 からの POST メソッドによるトラフィックが非常に多くあります。。CPU使用率が高くなります。質問ですが、攻撃を受けているのでしょうか?回避するにはどうすればいいでしょうか?(これらのIPをブロックしたくありません)また、ログについては理解できません。「POST」と表示されています。http://123.249.24.233/POST_ip_port.php通常の POST では、URL はローカルから取得されるはずですが、外部から取得されます。
ちなみに、私は nginx、php5-fpm、wordpress を使用しており、xmlrpc.php への POST が多数発生しましたが、ルールを削除して追加することで解決しました。
答え1
レイヤー 7 のみなので、DDOS Deflate などをインストールするか、IP 範囲を null ルートするだけです。
IP をヌル ルートするには:
route add -host 222.186.129.X reject
ip route get 222.186.129.x
出力
RTNETLINK answers: Network is unreachable
サブネット全体をヌル ルートするには:
route add -net 222.186.0/24 gw 127.0.0.1 lo
または、DDOS Deflate をインストールするには:
wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh
(アンインストール) ->
wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 0700 uninstall.ddos
./uninstall.ddos
攻撃がまだ対処できないほど大きい場合は、ISPに連絡することをお勧めします。ただし、別の選択肢としては、レイヤー7攻撃に対するDDOS保護を備えたリバースプロキシを取得することです。翻訳元(かなり安価な解決策)
お役に立てれば。