我在我的本地Windows机器上运行Apache,我一直在似乎是一个黑客企图的问题。 由于某种原因的请求实际上似乎使我的networking非常缓慢[当我closuresnetworking服务器时恢复正常]。 访问日志看起来有点像这样:
109.230.216.22 - - [15/May/2011:11:31:03 -0500] "GET /webdav/sip2.php?&IP=82.5.233 HTTP/1.1" 200 15 "-" "Opera/9.21 (Windows NT 5.1; U; en)" 109.230.216.22 - - [15/May/2011:11:31:06 -0500] "GET /webdav/sip2.php?&IP=82.5.15 HTTP/1.1" 200 15 "-" "Opera/9.21 (Windows NT 5.1; U; en)" 109.230.216.22 - - [15/May/2011:11:31:07 -0500] "GET /webdav/sip2.php?&IP=82.6.89 HTTP/1.1" 200 15 "-" "Opera/9.21 (Windows NT 5.1; U; en)" 109.230.216.22 - - [15/May/2011:11:31:07 -0500] "GET /webdav/sip2.php?&IP=82.6.198 HTTP/1.1" 200 15 "-" "Opera/9.21 (Windows NT 5.1; U; en)" 这已经持续了好几个星期了。 我已经在窗口的防火墙中input了有问题的IP,但主要是在我的httpd.conf文件中试图依赖以下内容:
<Directory "C:/xampp/htdocs"> Options Indexes FollowSymLinks Includes ExecCGI AllowOverride All Order deny,allow Deny from all Allow from MY.IP.ADDRESS.HERE </Directory>
我通过SSH远程服务器并试图通过wget访问一个页面进行了快速testing – 并得到了预期的403响应。 如预期的那样,请求在access.log也显示为403。
意想不到的部分是来自109.230.216.22的请求继续,没有减弱,并返回一个200的状态代码。
我如何阻止这件事?
我假设您正在使用networking边缘的设备将端口80转发到您的窗口框。 在该设备上创build防火墙规则并将其阻止,Apacheconfiguration不是阻止DOS攻击的好地方。
如果您确定这是一个黑客攻击,我也会向ISP的滥用部门提出投诉。
防火墙规则可能不会对现有会话有效。 虽然您将规则添加到防火墙,但是攻击者的现有连接可能仍然是在规则之前build立的。 将规则置于有效状态后中断连接可以阻止攻击情况。
要中断连接,您可以停止并重新启动Web服务。