В общем у меня тут один сайтик сейчас ддосят — опишу как это происходит вообще.
Как выглядят признаки DDOS на графике (в панели сервера):
Чтобы обрабатывать запросы — серверу нужно выделять память, поэтому вы видите такие «горы» на графике. К пику когда подбирается — сервер автоматом делает релоад и память очищается (этим занимается программа Monit, которая установлена на сервере).
Статистика сети:
2 дня уже ддосит, че-то ищет… упорный) вот так это выглядит на недельном:
Что делать?
Если на сервере несколько сайтов — определяем на какой идет трафик, смотрим статистику по трафику — где значения больше обычного, скорее всего тот и DDOS-ят.
Определили — идем смотреть логи:
Сам лог (access.log):
В моем случае, лог даже полностью не загрузился, потому что размер большой (больше 70 мб). Но даже на этом логе видно, что с 1 айпи по разным адресам шарит и за 1 секунду по 2-3 запроса обрабатывает.
На логе — сначала IP (120.79.224.28) — [дата-время посещения] — запрос (GET) — код ответа (404) — размер отданых байт (20532) — User-Agent (инфо о браузере или приложении которое отправляет запрос).
В общем IP мы определили — 120.79.224.28
Идем его банить (запретить доступ):
После добавления злоумышленника в черный список:
