web遭到攻击、导致tomcat停止服务

编程技术  /  houtizong 发布于 3年前   54

       最近一个项目遭到恶意攻击、导致用户无法访问系统、apache 出现下面错误：

Apache出错：503 Service Temporarily Unavailable

      跟踪apache日志发现，攻击者会post很大的内容到服务端，带宽都被占用完了。

 

 

      为了尽快恢复系统正常使用，我们采取了如下措施：

•       将攻击的页面引导至静态页面、这样可以暂时避免worker(接收mod jk的请求)连接被耗光的情况
•       静态页面只允许用户通过GET方式访问

 

但是持续的请求对于网络带宽带来了较大的影响，导致有些时候访问比较慢。

 

      为了更好的解决这个问题，建议在apache上安装两个模块ModSecurity以及ModGeoIP：

 

* ModSecurity及mod_evasive：是面向Apache的最受欢迎的安全模块。它可以提供全面的Web流量检查、封阻和审查功能，让你可以保护Web服务器，远离已知和未知的安全漏洞，包括分 布式拒绝服务(DDOS)攻击，防止操作系统关键词攻击，防止double dot攻击，防止跨站脚本(CSS)攻击，防止sql注入式攻击

 

* ModGeoIP：ModGeoIP基于MaxMind的 GeoIP数据和技术(http://www.maxmind.com/app/ip-location)，它让你只要使用本地保存的GeoIP数据库， 就可以确定访客的所在国家。一旦你知道了访客的所在国家，就能处理一些事务，比如把他重定向至某个特定的网页或者拒绝对方访问。

 

   另外ModStatus模块可以监控apache的运行状态，建议也可以安装