El siguiente es un extracto de una salida de registro de acceso de apache durante las últimas 24 horas. enlace
Notas:
- Las solicitudes provienen de más de 5733 direcciones IP únicas
- ~ 2 solicitudes por segundo, con un total de ~ 5 GB de datos de registro por día
- De las métricas, se muestra que el tráfico saliente es aproximadamente un orden de magnitud mayor que el tráfico entrante, debido a estas solicitudes.
El supuesto es que este es un ataque de algún tipo, o un uso de mi servidor por alguna razón. Pero no puedo llegar a una conclusión sobre cuál es su propósito.
Actualmente, he escrito una RewriteRule de Apache para redirigir todo este tráfico a un dominio inexistente. Por lo menos, si esto es algún tipo de participación en un ataque DDOS impar, recibirá un 301 a cambio, lo que reduce significativamente el tamaño del paquete. Lo ideal sería implementar algún tipo de firewall de capa 7 que simplemente eliminara los paquetes, pero como es una máquina virtual de Azure, es difícil.
¿Podrías ayudarme a determinar el propósito del ataque y, si es posible, cómo mitigarlo?