DDOS. Определение атакующего и его блокировка (VestaCP)

В общем у меня тут один сайтик сейчас ддосят – опишу как это происходит вообще.

Как выглядят признаки DDOS на графике (в панели сервера):

Чтобы обрабатывать запросы – серверу нужно выделять память, поэтому вы видите такие “горы” на графике. К пику когда подбирается – сервер автоматом делает релоад и память очищается (этим занимается программа Monit, которая установлена на сервере).

Статистика сети:

2 дня уже ддосит, че-то ищет… упорный) вот так это выглядит на недельном:

Что делать?

Если на сервере несколько сайтов – определяем на какой идет трафик, смотрим статистику по трафику – где значения больше обычного, скорее всего тот и DDOS-ят.

Определили – идем смотреть логи:

Сам лог (access.log):

В моем случае, лог даже полностью не загрузился, потому что размер большой (больше 70 мб). Но даже на этом логе видно, что с 1 айпи по разным адресам шарит и за 1 секунду по 2-3 запроса обрабатывает.

На логе – сначала IP (120.79.224.28) — [дата-время посещения] – запрос (GET) – код ответа (404) – размер отданых байт (20532) – User-Agent (инфо о браузере или приложении которое отправляет запрос).

В общем IP мы определили – 120.79.224.28

Идем его банить (запретить доступ):

После добавления злоумышленника в черный список: