Esperienza con un recente attacco DDoS su Apache

8

Originariamente ho pubblicato una domanda qui dal momento che non avevo familiarità con un attacco DDoS (DDoS) distribuito sul mio server. Ho notato che il mio server è molto lento nel rispondere alle richieste HTTP mentre le richieste HTTPS sono abbastanza buone (non buone come previsto).

Facendo un po 'di analisi e guardando dmesg e le crescenti dimensioni di% co_de di apache (oltre 5 GB), ho scoperto che hey sto ricevendo un attacco DDoS. Ho chiuso Apache e ho fatto un error.log , ho scoperto che tutto il netstat è sparito.

In breve:

Il problema era che i server remoti erano richieste di avvio ad Apache sulla porta 80 e avrebbero lasciato aperta la connessione tcp e quindi esaurito le risorse di Apache.

Che cosa ho fatto:

Ho controllato se avevo aggiornamenti di Apache, ma ero aggiornato.

Per assicurarmi che il mio server non abbia eseguito un bot per comunicare con un server di comando e controllo, ho sostituito l'immagine del volume corrente con una molto vecchia al momento in cui non ho avuto problemi. Non appena ho avviato il server, ho ricevuto gli attacchi come prima, quindi questo non era un problema.

Ho installato CSF , sebbene fossi esitante perché inizialmente non potevo fidarmi di questo software. Dopo aver avviato la prevenzione di SYN flood di CSF, ho notato un miglioramento delle richieste HTTP ma non di molto.

Quello che finalmente ho fatto è stato modificare l'IP del server e l'attacco era sparito. A proposito, le regole di SYN flood non erano così efficaci, perché ho finito per bloccare il traffico legittimo.

Per me è ancora una domanda:

  • Perché le richieste HTTPS sono state gestite in modo tempestivo?
  • Perché i server sono ancora facilmente vulnerabili a tali attacchi nonostante le numerose ricerche in questo settore?
  • Come posso prevenire questo problema in futuro?
posta hsnm 22.10.2012 - 16:40
fonte

1 risposta

6
  1. Le richieste alla porta 443 erano probabilmente più veloci perché si stava eseguendo DDoSed sulla porta 80. I processi di prefork di Apache sono in esecuzione. Per servire la porta 80, Apache aveva bisogno di generare un nuovo processo. Per servire 443, Apache stava usando un processo esistente. (Penso che ... devo controllare più tardi)

  2. La mitigazione di DDoS è ancora un problema difficile . Devi discernere il traffico legit dal traffico fasullo e devi farlo con il minor numero possibile di interazioni.

  3. Se si tratta di un servizio a scopo di lucro, un amministratore di server web professionale e / o un servizio di mitigazione DDoS sarebbe la soluzione giusta.

Se sei un amministratore del server web, quindi scavare nelle funzionalità degli strumenti, ad esempio, la mod_security di CSF e Apache può essere d'aiuto. Gli attaccanti sono concentrati sul tentativo di apparire come traffico legittimo. Sono un amministratore io stesso e questo tipo di attacco è una PITA seria da proteggere contro. Ottenere un controllo sulla firma del traffico e il filtraggio in modo appropriato può richiedere tempo. Fortunatamente, oggi gli strumenti DDoS non rispondono rapidamente, quindi passeranno al prossimo obiettivo o semplicemente arrenderanno per un po '.

Si noti che c'è un sacco di traffico di tipo legit che sembra come gli attacchi DoS. I ragni maleducati sono i più fastidiosi per me. Le persone che collegano la grafica ai social media possono assomigliare a un DDoS, con dozzine o centinaia di hit al secondo (da IP univoci) se qualcuno collega in profondità un elemento grafico su un forum popolare.

Assicurati che quando blocchi qualcuno con IPTables, non "respinga" il loro traffico. Lasciatelo cadere Rallenta le cose.

Non vedo l'ora di leggere altre risposte su questo argomento.

    
risposta data 22.10.2012 - 17:37
fonte

Leggi altre domande sui tag