Sembra un attacco DDOS?

Question

Sembra un attacco DDOS?

#1 da (2 voti)

2

Ho creato una piccola prova di concept web api sull'infrastruttura AWS (beanstalk elastico) utilizzando il loro livello gratuito. La mia app funziona correttamente, ma ne vedo molti nei log di accesso:

172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "149.100.171.172"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "2.227.202.134"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "93.44.33.132"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "93.37.77.196"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "151.62.133.102"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "95.249.219.42"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "2.34.37.138"

Vedo circa 7 hit al secondo, ed è sempre un POST a /device/enabler/linear . L'URL non fa parte della mia app. Ho invertito il DNS di alcuni degli IP, e sembrano tutti provenire da ISP italiani (non sono sicuro che sia pertinente).

Al momento non è un problema enorme in quanto non impedisce il funzionamento della mia app (quindi non è proprio sicuro se conta come un ddos?), ma è una seccatura, e mi ha fatto abbassare il servizio (quindi probabilmente è riuscito). E a un certo punto comincerà a costare denaro perché i log di accesso vengono scritti molto più velocemente di quanto mi aspettassi, quindi supererò le S3 che sono nel piano gratuito.

Sono in procinto di capire come configurare il firewall AWS EC2 (penso che sia quello che devo configurare per consentire l'accesso all'accesso dal mio client)

Qualcuno ha mai visto questo tipo di cose prima? Potrebbe essere un ddos? qualcuno ha visto hit a questo url come questo (ho cercato su Google e disegnato uno spazio vuoto)

Apprezza i consigli che chiunque può offrire;

http aws ddos

posta Nathan Russell 18.06.2017 - 12:58

fonte

1 risposta

Leggi altre domande sui tag http aws ddos

c'è uno script o una soluzione di apertura delle porte per aumentare la sicurezza? Voglio dire che la porta viene aperta solo quando viene rilevata una sequenza di porte sul registro Che cosa significa "-" nel campo Version in Common Product Enumeration (CPE)?

score 2 · Accepted Answer

It's not a massive issue at the moment as it's not preventing my app working (so not really sure if it counts as a ddos?)

diciamo alcune definizioni

Negazione del servizio: se il servizio non è stato negato dall'attacco, non è DoS né DDoS. Potrebbe essere offensivo, ma non sarebbe esattamente la stessa cosa.

Assunzione

93.44.33.132, 2.227.202.134, 93.37.77.196, 151.62.133.102, 95.249.219.42 e 2.34.37.138 hanno una reputazione negativa, afferma Symantec .
Per quanto riguarda un attacco DDoS, 7 richieste al secondo non sono molte. Le dimensioni della richiesta di post potrebbero essere un suggerimento. Ad esempio, se la dimensione è maggiore di 1 Mo, sì, può essere un tentativo DDoS.
I numeri 403 e 362. Supponendo che quei numeri siano un codice di risposta, sembra che la tua app stia negando l'accesso con un 403 Proibito, 362 potrebbe indicare perché l'accesso è vietato. < - potrei sbagliarmi con questo punto.
Quindi cosa abbiamo? Sappiamo che alcuni IP con bassa reputazione stanno facendo 7 richieste POST al secondo. Su un URL che non esiste. Dalla mia esperienza, non abbiamo abbastanza informazioni per determinare se questo modello è un attacco DDoS. Dobbiamo andare più a fondo.

Andando più in profondità

Per ulteriori indagini, inizierò a recuperare tre intere richieste di post e le loro risposte (con IP di origine diverso).

l'obiettivo è:

Conoscere le dimensioni delle 3 richieste / risposte.
Trova qualsiasi payload nell'intestazione o nel contenuto della richiesta.
quali dati stanno postando tali richieste.
quali sono le risposte e in che modo la tua app gestisce tali richieste.

Non nell'intervallo di domanda

Sapere se un proxy inverso è presente tra il client e l'app potrebbe essere anche interessante. Ad esempio, tali richieste potrebbero essere indirizzate al proxy e non all'app, per scopi di avvelenamento della cache.