DDOS slow-http di prevenzione degli attacchi

3

Ricevo spesso attacchi DDOS da più IP con semplici richieste HEAD. Esistono circa 30 IP univoci che creano tali attacchi.

201.230.167.68 - [05/Jan/2014:00:19:19 +0530] "HEAD / HTTP/1.1" 301 5.000 0 "-" "-" -  - 
77.121.228.31 - [05/Jan/2014:00:19:19 +0530] "HEAD / HTTP/1.1" 301 4.792 0 "-" "-" -  -
186.64.78.242 - [05/Jan/2014:00:19:19 +0530] "HEAD / HTTP/1.1" 301 5.000 0 "-" "-" -  -
77.121.228.31 - [05/Jan/2014:00:19:20 +0530] "HEAD / HTTP/1.1" 301 5.000 0 "-" "-" -  -
186.23.146.16 - [05/Jan/2014:00:19:20 +0530] "HEAD / HTTP/1.1" 301 5.005 0 "-" "-" -  -
201.230.167.68 - [05/Jan/2014:00:19:21 +0530] "HEAD / HTTP/1.1" 301 5.001 0 "-" "-" -  - 
186.64.78.242 - [05/Jan/2014:00:19:22 +0530] "HEAD / HTTP/1.1" 301 5.001 0 "-" "-" -  - 

Sarei davvero grato se qualcuno potesse aiutare dando idee per prevenire tali attacchi.

    
posta pradeepchhetri 04.01.2014 - 21:17
fonte

6 risposte

4

L'installazione di fail2ban e la configurazione di DoS / DDoS risolveranno il tuo problema. Supporta la limitazione della velocità. E dynamical scrive le regole IPTables. Se usi Red Hat o CentOS, segui come root.

yum install fail2ban -y
chkconfig fail2ban on
vim /etc/fail2ban/jail.conf
service fail2ban restart
    
risposta data 16.05.2014 - 22:30
fonte
1

Guardando il timestamp, questo è solo 1-3 richieste al secondo o giù di lì. Non dovrebbe importare troppo per il normale funzionamento del tipico web server.

Idee di mitigazione

C'è molto da fare per mitigare tali attacchi, ma fornisco tre idee.

  • PAGINE STATICHE: quasi tutti i webserver sono più efficienti nel servire pagine statiche. Forse la prima pagina (/) può essere una pagina statica?
  • REVERSE PROXY: se la prima pagina del sito web viene gestita da un proxy inverso, il proxy è comunemente in grado di gestire richieste semplici come HEAD in modo efficiente. La gestione delle pagine dinamiche in modo corretto ed efficiente tramite proxy potrebbe richiedere alcune configurazioni.
  • Su alcuni server HEAD / impiega a lungo il tempo in cui il server elabora tutta la pagina costruita dinamicamente e fornisce solo la data e / o la lunghezza. Forse il server fornisce i mezzi per gestire HEAD / in modo più efficiente di GET /?

Le idee dipendono dalla quantità di traffico DDos che non è in grado di completare l'intero uplink. A volte i siti Web vedono massicci attacchi DDos che saturano la larghezza di banda dei loro collegamenti. In questi casi, gli strumenti che puoi utilizzare sul tuo sito non sono sufficienti. Il proxy inverso e / o la tua prima pagina potrebbero in questo caso essere pubblicati direttamente dal tuo ISP.

    
risposta data 04.01.2014 - 21:56
fonte
1

Non sono d'accordo con Fail2ban e altri log reader + le regole del firewall. Non aiuta in questo problema dal momento che l'IP sta cambiando e sembra essere un attacco da una botnet e creerà memoria + sovraccarico della CPU.

Dovresti utilizzare i moduli del server web per fare questo, ad esempio, Nginx fornisce ngx_http_limit_req_module e Apache fornisce mod_evasive che hanno una migliore efficienza delle prestazioni a mio parere.

    
risposta data 07.06.2014 - 17:32
fonte
0

Se non stai usando l'IP statico, ripristina il router e dovrebbe cambiare il tuo indirizzo IP. Se lo fa, sei bravo, se per qualche motivo non riesci a raggiungere questo obiettivo e gli attacchi diventano più severi, puoi provare a chiamare il tuo ISP e chiedere loro di cambiare il tuo IP perché stai facendo DDose'd.

A seconda delle situazioni, ma non c'è davvero nulla che puoi fare per bloccare quelle connessioni, solo se blocchi tutte le connessioni su quella porta, (che nella maggior parte dei casi sarebbe la porta 80) ma questo ti impedirebbe di usare il protocollo HTTP a tutti .

    
risposta data 04.01.2014 - 23:51
fonte
0

Quando ho avuto questo problema, tutto ciò che ho fatto è stato aggiungere un paio di voci alle mie tabelle IP. Se stai usando Linux, allora questo è veramente semplice. Esegui questo comando per ciascuno degli indirizzi IP offensivi:

iptables -A INPUT -s IP-ADDRESS -j DROP

Questo farà in modo che tutti i pacchetti che provengono da quegli indirizzi IP vengano rilasciati, non verranno elaborati.

Se possibile, questo dovrebbe essere eseguito a livello di router. Ciò assicurerà che i pacchetti non raggiungano nemmeno il tuo computer. Ancora una volta questo approccio non preverrà attacchi futuri, dovrai inserire gli indirizzi IP che arrivano dai nuovi attaccanti.

    
risposta data 16.04.2014 - 00:44
fonte
0

Come ha detto @Kasun; Fail2ban sarebbe probabilmente la tua ipotesi migliore per introdurre la limitazione della velocità. Un'altra cosa, guardando il tuo log qui sopra, è che puoi disabilitare la richiesta HEAD HTTP. Non sono sicuro che sia conforme a RFC, ma di nuovo.

A breve Google alcuni di questi indirizzi IP sembrano essere spammer di commenti, probabilmente cercheranno di capire quale software stai usando (wordpress, joomla ...) e sfruttano le sue debolezze o semplicemente lo spam del tuo sito / blog con commenti.

Da un altro punto di vista, se il tuo sito sta avendo problemi (cioè: carico elevato della CPU) con alcune richieste, allora forse dovresti vedere se puoi ottimizzare il sito.

    
risposta data 02.06.2014 - 13:24
fonte

Leggi altre domande sui tag