Quanto segue è un estratto di un output del registro di accesso di Apache durante le ultime 24 ore. link
Note:
- Le richieste provengono da più di 5733 indirizzi IP univoci
- ~ 2 richieste al secondo, per un totale di ~ 5 GB di dati di registro al giorno
- Dalle metriche, viene mostrato che il traffico in uscita è di circa un ordine di grandezza più grande del traffico in entrata, a causa di queste richieste.
L'ipotesi è che si tratti di un attacco di qualche tipo o di un utilizzo del mio server per qualche motivo. Ma non posso arrivare a una conclusione su quale sia il suo scopo.
Attualmente ho scritto un RewriteRule di apache per reindirizzare tutto questo traffico a un dominio inesistente. Per lo meno, se si tratta di una sorta di partecipazione a uno strano attacco DDOS, riceverà in cambio un 301, riducendo in modo significativo la dimensione del pacchetto. Idealmente, implementerei un tipo di firewall di livello 7 che lascerebbe semplicemente cadere i pacchetti, ma visto che si tratta di una macchina virtuale di Azure, è difficile.
Sarai in grado di aiutarmi a determinare lo scopo dell'attacco e, se possibile, come mitigarlo?