DDOS. Определение атакующего и его блокировка (VestaCP)
Павел Кохно
(@linca)
В общем у меня тут один сайтик сейчас ддосят - опишу как это происходит вообще.
Как выглядят признаки DDOS на графике (в панели сервера):
Чтобы обрабатывать запросы - серверу нужно выделять память, поэтому вы видите такие "горы" на графике. К пику когда подбирается - сервер автоматом делает релоад и память очищается (этим занимается программа Monit, которая установлена на сервере).
Статистика сети:
2 дня уже ддосит, че-то ищет... упорный) вот так это выглядит на недельном:
Что делать?
Если на сервере несколько сайтов - определяем на какой идет трафик, смотрим статистику по трафику - где значения больше обычного, скорее всего тот и DDOS-ят.
Определили - идем смотреть логи:
Сам лог (access.log):
В моем случае, лог даже полностью не загрузился, потому что размер большой (больше 70 мб). Но даже на этом логе видно, что с 1 айпи по разным адресам шарит и за 1 секунду по 2-3 запроса обрабатывает.
На логе - сначала IP (120.79.224.28) -- [дата-время посещения] - запрос (GET) - код ответа (404) - размер отданых байт (20532) - User-Agent (инфо о браузере или приложении которое отправляет запрос).
В общем IP мы определили - 120.79.224.28
Идем его банить (запретить доступ):
Павел Кохно
(@linca)
После добавления злоумышленника в черный список:
