Использование UFW для полной блокировки интернет-провайдера
Я сталкиваюсь с DDOS-атакой с нескольких сотен IP-адресов, причем все они из разных городов Индии и имеют одну и ту же организацию: "................ для службы GPRS". (Я не упоминаю полное имя).
Атака началась около 5 часов назад и состоит из сотен IP-адресов, которые открывают от 1 до 5 соединений (в отличие от одного или нескольких IP-адресов, создающих тысячи соединений). IP-адреса поступают из самых разных подсетей.
Есть ли способ сообщить брандмауэру о блокировке интернет-провайдера удаленных IP-адресов, по крайней мере, до тех пор, пока проблема не будет решена?
2 ответа
Наконец, я нашел способ смягчить (и, наконец, решить) проблему:
После некоторого расследования я обнаружил, что атака была направлена на IP-адрес моего веб-сервера, а не на один веб-сайт. Поскольку этот IP-адрес фактически отвечал страницей apache по умолчанию, я заменил эту страницу перенаправлением PHP 302, указывая на случайный (поддельный) домен. В конце концов, все соединения исчезли, и все мои сайты теперь работают без сбоев, так как пару часов
Если IP-адреса находятся в той же стране или в нескольких странах, вы можете напрямую настроить iptables для блокировки подсетей, происходящих из Индии (или любой другой страны, которую вы выберете), в то время как вы переносите атаку DDOS и удаляете правила позже, когда она закончится.
Хитрость заключается в получении списка подсетей, которые применимы к вашим злоумышленникам.
Вы можете использовать этот удобный инструмент: https://www.ip2location.com/free/visitor-blocker
Он может генерировать правила для различных межсетевых экранов, включая iptables, которые можно сохранять как и запускать как bash-скрипт. Инструмент также поддерживает серверные приложения, такие как Apache.
Имейте в виду, что если это ботнет, атакующий вас, IP-адреса могут быстро измениться и состоять из клиентов во многих странах. Попытка идти в ногу может оказаться бесполезной, и вам лучше установить fail2ban.