Si estás recibiendo un ataque desde unas cuantas IP que te están cargando el tráfico en un servidor web, en esta entrada te explico cómo solucionarlo. Este ejemplo está descrito para NGINX, pero llevarlo a cabo en Apache o en otros servidores es muy similar, solo cambia la ruta de los logs.
Lo primero que tienes que hacer es ver qué archivos de log de NGINX son los más grandes, ya que esto probablemente te va a indicar qué sitios (Server Block en NGINX, Virtual Host en Apache) están recibiendo más visitas. Esto lo compruebas con los siguientes comandos:
cd /var/log/nginx
ls -laSh | head -n 10El último comando te devuelve los 10 archivos más grandes.
A continuación, en cada uno de esos archivos tienes que obtener las direcciones IP con más apariciones (cambia midominio.com.access.log por tu archivo):
grep -o "[0-9]+.[0-9]+.[0-9]+.[0-9]+" midominio.com.access.log | sort | uniq -c | sort -nLa salida es del estilo
12400 1.2.109.02
15591 1.16.15.86
17504 11.16.8.3
Donde la primera cifra es el número de peticiones hechas a la web y la segunda es la dirección IP.
Aquí tienes que ver si son cifras normales o muy altas, como en este ejemplo.
Solo queda filtrar esas IP con iptables:
iptables -A INPUT -s direccion-ip -j DROPHacerlo con todos los archivos de log
Si quieres hacerlo con todos los archivos de acceso, puedes usar el siguiente comando para ver las IP con mayor número de conexiones:
more /var/log/nginx/*access.log /var/log/nginx/*access.log.[0-9] | awk '{print $1}' | sort | uniq -c | sort -n
Más información: