222.186.129.5 - - [19/Jun/2015:16:56:28 +0000] "POST http://123.249.24.233/POST_ip_port.php HTTP/1.1" 301 184 "http://123.249.24.233/POST_ip_port.phpAccept: */*" "Mozi$
222.186.30.111 - - [19/Jun/2015:16:56:29 +0000] "POST http://123.249.24.233/POST_ip_port.php HTTP/1.1" 301 184
IP 222.186에서 POST 방식으로 트래픽이 너무 많습니다..그래서 CPU 사용량이 높았어요. 제 질문은 공격을 받았나요? 그것을 피하는 방법? (저는 해당 IP를 차단하고 싶지 않습니다.) 그리고 로그에 대해 이해가 되지 않습니다. "POST"라고 적혀 있습니다.http://123.249.24.233/POST_ip_port.php일반 POST의 HTTP/1.0" URL은 로컬에서 와야 하지만 외부에서 옵니다.
그런데 나는 nginx, php5-fpm 및 wordpress를 사용하고 있으며 xmlrpc.php에 대한 POST가 너무 많지만 규칙을 제거하고 추가하여 문제를 해결했습니다.
답변1
레이어 7이기 때문에; DDOS Deflate와 같은 것을 설치하거나 IP 범위를 null로 라우팅하면 됩니다.
IP를 null로 라우팅하려면 다음 안내를 따르세요.
route add -host 222.186.129.X reject
ip route get 222.186.129.x
산출
RTNETLINK answers: Network is unreachable
전체 서브넷을 null로 라우팅하려면 다음 안내를 따르세요.
route add -net 222.186.0/24 gw 127.0.0.1 lo
또는 DDOS Deflate를 설치하려면:
wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh
(제거) ->
wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 0700 uninstall.ddos
./uninstall.ddos
공격이 여전히 처리하기에는 너무 큰 경우 ISP에 문의하는 것이 좋습니다. 그러나 또 다른 옵션은 다음과 같은 레이어 7 공격으로부터 DDOS 보호 기능을 갖춘 역방향 프록시를 얻는 것입니다.http://x4b.net(매우 저렴한 솔루션)
도움이 되었기를 바랍니다.