我們有一個網站似乎遭受了拒絕服務攻擊。涉及多個 IP 位址,這些位址都已註冊到 Facebook。
以下是 Apache 日誌檔的摘錄:
173.252.73.119 - - [29/Aug/2013:14:22:14 +0100] "GET /blog/?s=224im089cz+pofmv90+4445u422bmw+5iaa1nxh4j1+ppabi%2Gjewl_biochemist++ HTTP/1.1" 200 179 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
如您所看到的,請求的 URL 有效,但包含一個亂碼的查詢字串。每秒鐘有數百個這樣的請求。
我認為 IP 位址和引薦來源網址都是偽造的。即使上述 URL 已在 Facebook 上發布/分享,也無法解釋來自相同 IP 位址和推薦來源網址的所有其他數千個隨機請求。
雖然我們可以透過防火牆封鎖該 IP 位址,但還有其他 IP 位址正在使用(全部註冊到 Facebook),如果 Facebook 沒有實際責任,我們不想封鎖 Facebook。
這些攻擊的來源是否可能來自其他地方?
答案1
這些點擊是指 Facebook 查詢您的伺服器以抓取圖像或文字摘錄等。例如,如果一個連結被發布並傳播開來,它就會被加載每一個上述連結的視圖。您可以聯繫[電子郵件受保護]這樣他們就可以查看它並確定連結是否確實有效。
請注意,這不是拒絕服務攻擊,而是您的伺服器無法應對流量湧入。拒絕服務攻擊只會使您的網站無法使用,而這只是一個繁忙的伺服器。
答案2
我不認為這是臉書。
您是否嘗試過準確存取此 URI - 也可能是伺服器已受到威脅,並且實際上這裡有某些東西正在偵聽。您在這裡得到 HTTP 狀態 100 - 發生了一些事情 - 這不是File not Found.
請深入查看它 - 如果您安裝了 webshell,它是隱藏的。在接近尾聲的地方看看它會是什麼樣子:http://daniel-khan.at/index.php/2013/05/12/webserver-attack-deconstructed/
在所有其他情況下(這實際上是一個指向任何內容的虛假 URI):
如果你得到了很多點擊,你可以使用有限制的 iptableshttp://thelowedown.wordpress.com/2008/07/03/iptables-how-to-use-the-limits-module/
如果blog根本不是有效路徑,請嘗試在 .htaccess 中封鎖它
<Directory /blogn>
Order Deny,Allow
Deny from all
</Directory>
這樣伺服器就不會承受太多負載,機器人也可能會感到疲倦。