222.186.129.5 - - [19/Jun/2015:16:56:28 +0000] "POST http://123.249.24.233/POST_ip_port.php HTTP/1.1" 301 184 "http://123.249.24.233/POST_ip_port.phpAccept: */*" "Mozi$
222.186.30.111 - - [19/Jun/2015:16:56:29 +0000] "POST http://123.249.24.233/POST_ip_port.php HTTP/1.1" 301 184
來自 IP 222.186 的 POST 方法的流量非常多。。所以我的CPU使用率很高。我的問題是,它被攻擊了嗎?如何避免呢? (我不想阻止這些IP),而且,我不明白日誌,它說“POSThttp://123.249.24.233/POST_ip_port.phpHTTP/1.0」在正常的 POST 中,url 應該來自本地,但它來自外部。
順便說一句,我使用 nginx、php5-fpm 和 wordpress,我收到了很多到 xmlrpc.php 的 POST,但我已經透過刪除和新增規則解決了這個問題。
答案1
因為它只是第 7 層;只需安裝 DDOS Deflate 或空路由 IP 範圍之類的東西即可。
要將 IP 路由為空:
route add -host 222.186.129.X reject
ip route get 222.186.129.x
輸出
RTNETLINK answers: Network is unreachable
若要對整個子網路進行空路由:
route add -net 222.186.0/24 gw 127.0.0.1 lo
或安裝 DDOS Deflate:
wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh
(卸載)->
wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 0700 uninstall.ddos
./uninstall.ddos
如果攻擊仍然太大而無法處理,我建議聯絡您的 ISP;然而,另一種選擇是獲取具有 DDOS 保護的反向代理,可抵禦第 7 層攻擊,例如http://x4b.net(相當便宜的解決方案)
希望這可以幫助。