175.139.162.92 - - [25/Apr/2014:20:06:24 +0700] "GET / HTTP/1.1" 200 17789 "x513o3eq9cbe58.com" "Mozilla/3.0 (Slurp/si; slurp@inktomi.com; http://www.kst3ps699631.com/slurp.html)" 186.208.74.24 - - [25/Apr/2014:20:06:26 +0700] "GET / HTTP/1.1" 200 17788 "sf2c0ksxe5c.info" "Mozilla/4.0 (compatible; MSIE 5.5; AOL 4.0; Windows 98; GoBeez www.293252za9p1chx.com))" 175.139.162.92 - - [25/Apr/2014:20:06:28 +0700] "GET / HTTP/1.1" 200 17789 "29u05lmb4.biz" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7 SnapPreviewBot" 92.226.121.140 - - [25/Apr/2014:20:06:31 +0700] "GET / HTTP/1.1" 200 17789 "528t9ehy2.net" "Mozilla/5.0 (compatible; Konqueror/2.0.1; X11); Supports MD5-Digest; Supports gzip encoding" 175.139.162.92 - - [25/Apr/2014:20:06:33 +0700] "GET /gui-thong-tin-tu-van-phap-luat/view/form.html HTTP/1.1" 200 16734 "z885369a7.biz" "Mozilla/4.76 [en] (X11; U; FreeBSD 4.4-STABLE i386)"  

SecAction "phase:1,t:none,pass,nolog,initcol:global=global,initcol:ip=%{remote_addr}" SecRule REQUEST_URI "^/$" "nolog,phase:1,setvar:ip.ddos=+1,deprecatevar:ip.ddos=30/60,expirevar:ip.ddos=120" SecRule IP:DDOS "@gt 5" "phase:1,log,msg:'DDoS_from_%{REMOTE_ADDR}',exec:/path/to/blocker.sh"  

Số pkg vào ở port 80: 2046K Số pkg chặn lại ở ipt_recent: 27M  

Nếu bạn không ngại thay đổi cấu trúc website thì cách đơn giản và khá phổ biến sau đây có thể xử lý được: B1: Chuyển toàn bộ source code vào thư mục mới (new_folder) nằm dưới thư mục cũ. B2: Tại thư mục cũ tạo một file index.html có nhiệm vụ khi người dùng click vào đường link thì sẽ wwwect vào thư mục mới. Cách này hơi bất tiện cho người truy cập web nhưng khá đơn giản. Apache sẽ chỉ trả ra 1 file html do đó tải sever sẽ không tăng đáng kể. Trong trường hợp của bạn thì sẽ có hiệu quả.  

if (req.http.Keep-Alive) { return (error); }  

Nếu cứ có keep-alive mà chặn thì bạn sẽ chặn nhầm rất nhiều trường hợp. Chỉ keep-alive không thôi thì không đủ để coi đó là dấu hiệu DDoS. 

Mấy cái request dạng này đều có điểm chung nhât định. Theo như log bạn gửi lên thì nó đều chứa referer từ một site không có thực nào đó. Bạn có thể dựa vào điểm này để loại bỏ các request bất hợp lệ. VD như chỉ cho những request nào có referer được phép thì mới được truy cập, tất cả các dạng khác thì deny. Ngoài ra bạn có thể tìm thêm một số đặc điểm nhận dạng khác để kết hợp, giảm thiểu tình trạng chặn nhầm.  

if (req.http.referer && req.http.referer !~ "http(s)?:\\") { return (error); }  

GET /gui-thong-tin-tu-van-phap-luat/view/form.html HTTP/1.0\r\n Request Method: GET Request URI: /gui-thong-tin-tu-van-phap-luat/view/form.html Request Version: HTTP/1.0 Host: xxxxxxxxxx.com\r\n Keep-Alive: 300\r\n Connection: keep-alive\r\n User-Agent: Mozilla/4.0 (compatible; DepSpid/5.0x; +http://about.h21c1ie8.net) \r\n Referer: 993r4fd.biz\r\n \r\n