一次小攻击处理

上班一看监控，nginx链接变好大。虽然负载神马的还不高。
查看日志，N多地址访问一个接口。偶尔一次受攻击还是挺紧张的。

120.202.67.3 - - [26/Apr/2016:11:07:29 +0800] "POST /log/yz HTTP/1.1" 200 162 "-" "Mozilla/5.0"
116.23.16.165 - - [26/Apr/2016:11:07:29 +0800] "POST /log/yz HTTP/1.1" 200 162 "-" "Mozilla/5.0"
60.173.201.116 - - [26/Apr/2016:11:07:29 +0800] "POST /log/yz HTTP/1.1" 200 162 "-" "Mozilla/5.0"
175.149.99.44 - - [26/Apr/2016:11:07:29 +0800] "POST /log/yz HTTP/1.1" 200 162 "-" "Mozilla/5.0"
27.115.74.10 - - [26/Apr/2016:11:07:29 +0800] "POST /log/yz HTTP/1.1" 200 162 "-" "Mozilla/5.0"

都这种语句 。
处理办法 首先想到的 屏蔽这个的user_agent

if ($http_user_agent ~* "^Mozilla/5.0$"){
return 403;
}

开始放到 location下面 发现居然无效，转到server下面。

然后 防止user_agent 变化 ，还是从程序入手 ，通知开发加上各种验证，限制。

其后 想了想， 还可以分析日志 将调用这个URL的ip超过一定数量deny掉。因为这个几乎不会有什么访问。
目前还在持续访问中。。。
不知大家有什么应对方案