调试易

服务器被ddos了，如何处理
服务器是linux，上面跑着apache+tomcat+mysql
按照谷歌来的如何确认ddos
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 
结果如下
      1 186.42.198.204
      1 Address
      1 servers)
      6 188.167.100.140
     11 182.3.199.220
     12 109.162.203.216
     13 116.202.8.228
     14 117.195.147.175
    122 115.174.144.88
    128 127.0.0.1其实开始的结果远比这个糟糕。
开始的时候，这个数字很高很高。
按照谷歌来的内容，安装了DDoS deflate，配置成每个ip的连接数超过20个，就自动封掉此ip，每20秒检测一次
然后有了点效果，但是效果不佳，服务器偶尔可以打开了，但是更经常的是打不开，关掉外网ip后就可以打开了，可见服务器并没有当机，只是不能响应新的请求了，为了验证这个结论，查看了下apache的日志，发现apache大部分响应都是正常的，只是没有响应我们的请求，而是都响应了坏人的请求，以下是一段日志，看看，一秒钟刷了首页多少次
188.167.100.140 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
188.167.100.140 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
188.167.100.140 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
109.162.203.216 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
82.52.98.173 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
188.167.100.140 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
120.61.42.109 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
120.61.42.109 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
180.215.212.69 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
180.215.212.69 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
180.215.212.69 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
182.177.63.215 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
120.61.42.109 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
82.52.98.173 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
120.61.42.109 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
82.52.98.173 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
120.61.42.109 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
120.61.42.109 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
116.74.118.138 - - [16/Apr/2011:23:15:13 +0800] "GET / HTTP/1.1" 200 157965
117.205.177.123 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
120.61.42.109 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
182.177.63.215 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
116.74.118.138 - - [16/Apr/2011:23:15:10 +0800] "GET / HTTP/1.1" 200 157965
188.167.100.140 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
182.177.63.215 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
82.52.98.173 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
82.52.98.173 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
188.167.100.140 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
117.254.114.202 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
222.93.190.134 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
222.93.190.134 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
82.52.98.173 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965
82.52.98.173 - - [16/Apr/2011:23:15:14 +0800] "GET / HTTP/1.1" 200 157965目前准备上防火墙，软的硬的都可以，就是不知道上了防火墙管用不。
如果能配置下iptable就管用的话，那自然更好。
iptable自己配置了一些，但都不是很管用，apache也用limit限制了并发连接数，都不是很好。ps：服务器在过去的三个月中，一直运行稳定，apache，tomcat，mysql，linux均没有重启过。
只是上周开始被ddos后，就这样了。
这些人也真是的，要钱就说么，非要这样，弄了快一周了，我们也没明白到底是谁在攻击我们，攻击我们有什么目的。
我们网站目前没有产品，都是免费的东西，没有竞争对手，不知道为什么被攻击。
希望懂安全配置的大牛帮忙看看