最近公司服务器出现了有人恶意ddos抓取,服务器受到影响。就想怎么解决这个问题
思路:在一分钟内请求目标地址频率超过10次或者一个合适的次数,就理解为是被人攻击,然后获取到ip将ip封掉。
解决方案:利用fail2ban解决;fail2ban是通过扫描log来异步判断是否用iptable封禁的,所以对原系统影响比较小,而且不需要重新配置nginx。不过不知道访问量太大是否撑得住。
具体步骤:
首先在/etc/fail2ban/jail.conf里加入
[http-get-dos]
enabled = true
port = http,https
filter = nginx-bansniffer
logpath = /usr/local/nginx/logs/segmentfault.log
maxretry = 20
findtime = 120
bantime = 3600
action = iptables[name=HTTP, port=http, protocol=tcp]
然后找到/etc/fail2ban/filter.d/nginx-bansniffer.conf,把里面针对404的判断改成
[Definition]
failregex = <HOST> -.*- .*zhuce/zhuce.*HTTP/1.* .* .*$
ignoreregex =
最后重启fail2ban服务,这里的设置是只要是有120秒内访问超过120次并且地址里面包含zhuce/zhuce的ip就禁掉1个小时。
扫一扫
975
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
