我使用下面的命令来检查我有多少连接从一个单一的IP用netstat:如何知道它的人或机器人/蜘蛛/ DDOS
netstat -anp |grep ':80' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
如果是DDOS攻击(500+连接),很容易检测到。但是在任何时候,我仍然有来自单个IP的60-100个连接。它可以是人类还是某种机器人/蜘蛛?
这是我现在(它前6)。
48 217.212.230.*** 54 46.63.105.*** 55 62.235.175.*** 56 79.235.188.*** 60 178.27.93.*** 63 31.16.96.***
此服务器是动态内容。 (Apache2,Keepalive关闭)
您的问题可能是您的HTTP服务器未配置为支持Keepalive!首先进行配置。
如果您未配置Keepalive,浏览器将为页面中的每个元素打开一个连接到您的服务器。通过Keepalive,它仅为许多元素打开一个,具体取决于Keepalive的配置方式。
另外,请考虑使用缓存指令:静态内容不需要每次下载。
如果您使用Apache,则由核心(用于keepalive)和mod_expires(用于缓存指令)完成。如果您需要高性能网站,Keepalive和mod_expires是配置的两个最重要的事情。
我正在使用mod_expires。 Keepalive适用于静态内容...我的图片很少,使用Keepalive降低了我的表现。 – 2011-12-21 10:36:48
真的吗?你有数字吗?我从来没有见过Keepalive会降低性能...... – fge 2011-12-21 10:38:06
如果您没有图像,它会降级。我有另一台静态内容服务器(keepalive)(nginx)。 – 2011-12-21 10:41:43
当NAT存在于互联网中时,你无法找到这个。如果你有Web服务器,并且你的单个页面由大约50个元素组成(css文件,图片和其他元素),你可以从单个IP(如果没有NAT)获得大约50个会话,只需点击一下就可以生成浏览器。
可能,但我只显示前6 ips。大多数有1-6个连接。 – 2011-12-21 10:37:56
有趣的问题,但我不明白这是如何编程有关。也许更适合[sf]? – 2011-12-21 10:15:35
如果您看到来自一个IP地址的500多个连接,那肯定会是“DoS”而不是“DDoS”。 – nickgrim 2011-12-21 13:18:25