Originariamente ho pubblicato una domanda qui dal momento che non avevo familiarità con un attacco DDoS (DDoS) distribuito sul mio server. Ho notato che il mio server è molto lento nel rispondere alle richieste HTTP mentre le richieste HTTPS sono abbastanza buone (non buone come previsto).
Facendo un po 'di analisi e guardando dmesg
e le crescenti dimensioni di% co_de di apache (oltre 5 GB), ho scoperto che hey sto ricevendo un attacco DDoS.
Ho chiuso Apache e ho fatto un error.log
, ho scoperto che tutto il netstat
è sparito.
In breve:
Il problema era che i server remoti erano richieste di avvio ad Apache sulla porta 80 e avrebbero lasciato aperta la connessione tcp e quindi esaurito le risorse di Apache.
Che cosa ho fatto:
Ho controllato se avevo aggiornamenti di Apache, ma ero aggiornato.
Per assicurarmi che il mio server non abbia eseguito un bot per comunicare con un server di comando e controllo, ho sostituito l'immagine del volume corrente con una molto vecchia al momento in cui non ho avuto problemi. Non appena ho avviato il server, ho ricevuto gli attacchi come prima, quindi questo non era un problema.
Ho installato CSF , sebbene fossi esitante perché inizialmente non potevo fidarmi di questo software. Dopo aver avviato la prevenzione di SYN flood
di CSF, ho notato un miglioramento delle richieste HTTP ma non di molto.
Quello che finalmente ho fatto è stato modificare l'IP del server e l'attacco era sparito. A proposito, le regole di SYN flood
non erano così efficaci, perché ho finito per bloccare il traffico legittimo.
Per me è ancora una domanda:
- Perché le richieste HTTPS sono state gestite in modo tempestivo?
- Perché i server sono ancora facilmente vulnerabili a tali attacchi nonostante le numerose ricerche in questo settore?
- Come posso prevenire questo problema in futuro?