помогите советом с ddos атакой
Добрый вечер, по ситуации есть сайт xxxx.com у него на главной странице находится форма входа, которая передает данные методом POST на login.php
В общем в логах полно запросов
103.9.126.93 - - [17/Jul/2013:09:58:36 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"
171.7.120.18 - - [17/Jul/2013:09:58:36 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"
49.201.47.143 - - [17/Jul/2013:09:58:36 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"
49.49.46.227 - - [17/Jul/2013:09:58:36 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"
178.207.59.161 - - [17/Jul/2013:09:58:37 +0200] «POST xxxx.com HTTP/1.1» 400 166 "-" "-" "-"
1.9.162.11 - - [17/Jul/2013:09:58:37 +0200] «POST xxxx.comm HTTP/1.1» 400 166 "-" "-" "-"
178.207.73.207 - - [17/Jul/2013:09:58:37 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"
78.188.175.126 - - [17/Jul/2013:09:58:37 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"
121.54.46.163 - - [17/Jul/2013:09:58:37 +0200] «POST xxxx.com HTTP/1.1» 400 166 "-" "-" "-"
36.73.54.134 - - [17/Jul/2013:09:58:37 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"
114.79.50.32 - - [17/Jul/2013:09:58:37 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"
75.120.125.174 - - [17/Jul/2013:09:58:37 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"
как можно отфильтровать такие POST запросы нацеленные на домен именно ? А то создают большую нагрузку, и доходят до бекенда.
Пробовал натравить fail2ban на данные логи nginx, но что то ничего у меня не вышло видимо с регуляркой.
failregex = ^<HOST> - .* «POST http://www.xxxx.com HTTP.*» 403 [0-9]{1,} ".+" ".+«$
или как можно просто этим ботам отдавать 444 ошибку в nginx , чтобы эти запросы не доходили до backend Можете подсказать ?