停止DOS攻击

与我合作的网站之一最近开始获得DoS服务。它最初以30k RPS开始，现在是50k / min。IP几乎都是唯一的，不在同一子网中，并且在多个国家/地区。他们只请求主页。关于如何阻止这种情况的任何提示？

这些服务器在Linux上以Apache为Web服务器运行。

谢谢

您不仅要承受DoS，还要承受DDoS，它是分布式的，很难处理。

本质上，您正在尝试识别非法流量并加以阻止。理想情况下，您希望将此路由为空路由（甚至最好让上游提供程序将其空路由。）

呼叫的第一个端口是标识。您需要找到某种方法来识别发送到主机的流量。无论是普通的用户代理，是否是他们实际上没有使用适当的浏览器（提示：它们的行为是否像适当的浏览器一样，即遵循301重定向），是否所有请求都在同一时间泛滥成灾？每个IP每小时有许多请求到达您的服务器。

您不能在不识别它们的情况下阻止它们，而您需要找到某种方法。

那些DDoS缓解工具除了实时性和炸弹成本外，基本上都做同样的事情。一半时间会出现误报，或者DDoS如此之大，无论如何都没有关系，因此，如果您决定现在或将来投资其中一种资金，请多加注意。

请记住：1.确定2.阻止。1是困难的部分。

您假设这是故意的DDoS。首先尝试更改IP地址。如果实际上不是故意的，那么它将停止。

如果不是故意的，这些请求将来自何处？它可能是随机的，也可能是错误的目标。不太可能，但值得一试。

您确定不只是获得合法流量的负载？也许您已经被鞭打了，或者其他。尝试查看日志中的引荐来源网址。

您的前端路由器/负载均衡器是否没有DOS攻击管理？我们做到了，这让世界变得与众不同。

您可以要求您的上游提供商向他们的上游寻求帮助。例如，假设您仅与英国用户一起运行网站。然后，您可以使用某些whois数据库来检查一般流量的来源。举例来说，您的大量不必要的流量恰好来自俄罗斯，中国和/或韩国。然后，您可以呼叫上游提供商，并让他们打电话给他们，以使它们暂时从这些区域对您的IP地址进行空路由，前提是它们的路由器靠近源。

这不是一个长期的解决方案，但是如果您的用户群聚集在几个地理区域中，它将很有帮助。过去，Ive曾帮助过这样的客户，只是没有将他们宣布为同行，而是全国性的。这确实夺走了他们的部分业务（用户发现它们无法访问，因为它们不再在国际上可用），但是它比仅仅停止服务变得更加出色。

但归根结底，这更是一种绝望的举动。但是，切断肢体比放松身体更好。

如果您幸运的话，您的上游提供商将拥有设备，并愿意帮助您过滤掉大部分不需要的流量。

祝好运 ：-）