當發現網站的流量瞬間拉高,多半是被駭客攻擊或是被用工具掃描
最快偵測作法可以有以下幾種
- 在command line 執行 netstat -nao | find "80" | find "ESTABLISHED"
- 如果使用apache 可以查看LOG 分析看哪個IP 有大量連線
關於netstat 如想知其網路連線流程及各狀態代表為何,可參考以下連結
當查到異常連線的IP,可以先從Apache 設定中擋掉這IP,在這裡介紹二種作法
1.在httpd.conf (如果是Virtual host 就要在extra/httpd-vhosts.conf 裡設定),
在設定Directory 之中,加上deny from your block IP
<Directory "C:\www\">
Require all granted
Options FollowSymLinks
AllowOverride All
Order allow,deny
Allow from all
Deny from 112.220.66.50
</Directory>
記得設完後還要重啟才有交果
2.如果有開啟rewrite ,可從.htaccess 下手即可,可在檔案 之中加上
Order allow,deny
Allow from all
Deny from 112.220.66.50
這樣也有效果,而且這是不用重啟apache 就可以有效果了
如果想知道.htaccess 可以做哪些事,對岸這篇文章可以大致讓你知道
沒有留言:
張貼留言