可能的 DDoS 攻击？ [关闭]

Question

截至 7 月 4 日，我的访问日志中有数百行相同的请求。这个在这个日期前后的几个小时内出现了数千次：

86.128.198.216 - - [22/Jul/2011:00:44:16 +0100] "GET /404.htm HTTP/1.1" 302 414 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; GTB7.1; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; .NET4.0C)"

还有其他的——在上述几行之前，有数百个这样的例子：

92.23.237.48 - - [21/Jul/2011:23:36:24 +0100] "GET /404.htm HTTP/1.1" 302 414 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; GTB6.6; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; eSobiSubscriber 2.0.4.16; .NET4.0C; InfoPath.1; BRI/2)"

还有许多其他类似的 IP 请求 404.htm 数百/数千次。因此，我们的带宽已超过 100GB，并且我们的网站目前已关闭。

该网站很小（每月访问量约为 2-3000 次），我无法真正弄清楚发生了什么。任何帮助/建议都将不胜感激，因为我通常不处理网络的管理员方面，因为直到几个月前，我们才有一个人专门处理这个问题。

等待我的虚拟主机公司解决这个问题很痛苦。

谢谢，

丰富

Answer 1

我不是专家，但以下是我的发现：

一种常见的攻击方法涉及使目标机器饱和 与外部通信请求，使其无法响应 对合法流量，或响应太慢以至于被渲染 有效地不可用。一般而言，实施DoS攻击 通过强制目标计算机重置或消耗其 资源，使其无法再提供其预期的服务或 阻碍预期用户与用户之间的通信媒体 受害者，使他们无法再进行充分的交流。

您的情况似乎符合描述。以下是有用的链接：

• Best practices for detecting DOS (denial of service) attacks?
• How to protect a website from DoS attacks