本帖最后由 迷城 于 2016-3-5 23:04 编辑
今晚正在吃晚饭的时候,收到SNMP监控提示,eth0网卡流出带宽发生异常。因为监控项设置的是出口流量的平均值。偶尔网站高峰期时监控项会发生告警提醒,影响并不是很大。当时并没有在意,吃过晚饭后心上去看看监控。
登陆上服务器后输入w查看了下系统负载情况,当时惊呆了,系统负载很高、 top查看了下进程发现没有可疑进程,iftop 查看网卡流量,流量没有什么太大出口流量到一个ip上。 只是有很多ip请求80端口,随后tshark 抓了下包
心想了下,不会又被入侵了吧。这么多ip地址不停的请求同一个URL,nm莫非这是传说中的CC攻击
由于ip地址是不停的变化,iptables也排不上用场。只有在nginx配置文件上做限制
vim编辑虚拟主机配置文件,限制request url 同时也限制空的user_agent
保存重启nginx,系统负载瞬间下来了, 查看下网站日志,对于限制GET 请求的URl已经返回404了。问题得到控制
今晚正在吃晚饭的时候,收到SNMP监控提示,eth0网卡流出带宽发生异常。因为监控项设置的是出口流量的平均值。偶尔网站高峰期时监控项会发生告警提醒,影响并不是很大。当时并没有在意,吃过晚饭后心上去看看监控。
登陆上服务器后输入w查看了下系统负载情况,当时惊呆了,系统负载很高、 top查看了下进程发现没有可疑进程,iftop 查看网卡流量,流量没有什么太大出口流量到一个ip上。 只是有很多ip请求80端口,随后tshark 抓了下包
心想了下,不会又被入侵了吧。这么多ip地址不停的请求同一个URL,nm莫非这是传说中的CC攻击
由于ip地址是不停的变化,iptables也排不上用场。只有在nginx配置文件上做限制
vim编辑虚拟主机配置文件,限制request url 同时也限制空的user_agent
- if ( $request_uri ~ "^/forum.php\?pages=78112444.*" ){
- return 404;
- }
- if ( $request_uri ~ "^/forum.php\?.*" ){
- return 404;
- }
- if ($http_user_agent ~ ^$) {return 403;}
编辑回复