web遭到攻击、导致tomcat停止服务
最近一个项目遭到恶意攻击、导致用户无法访问系统、apache 出现下面错误:
Apache出错:503 Service Temporarily Unavailable
跟踪apache日志发现,攻击者会post很大的内容到服务端,带宽都被占用完了。
为了尽快恢复系统正常使用,我们采取了如下措施:
- 将攻击的页面引导至静态页面、这样可以暂时避免worker(接收mod jk的请求)连接被耗光的情况
- 静态页面只允许用户通过GET方式访问
但是持续的请求对于网络带宽带来了较大的影响,导致有些时候访问比较慢。
为了更好的解决这个问题,建议在apache上安装两个模块ModSecurity以及ModGeoIP:
* ModSecurity及mod_evasive:是面向Apache的最受欢迎的安全模块。它可以提供全面的Web流量检查、封阻和审查功能,让你可以保护Web服务器,远离已知和未知的安全漏洞,包括分 布式拒绝服务(DDOS)攻击,防止操作系统关键词攻击,防止double dot攻击,防止跨站脚本(CSS)攻击,防止sql注入式攻击
* ModGeoIP:ModGeoIP基于MaxMind的 GeoIP数据和技术(http://www.maxmind.com/app/ip-location),它让你只要使用本地保存的GeoIP数据库, 就可以确定访客的所在国家。一旦你知道了访客的所在国家,就能处理一些事务,比如把他重定向至某个特定的网页或者拒绝对方访问。
另外ModStatus模块可以监控apache的运行状态,建议也可以安装