Botnet Tentativo di accesso al sito web

1

Il nostro server è diventato di recente l'obiettivo di quello che sembra essere un attacco botnet. La prima indicazione è stata una quantità folle di traffico verso uno dei siti Web dei nostri clienti - così pesante che il server ha smesso completamente di rispondere. Credo che abbiamo avuto circa 200 richieste in coda sul server quando l'ho verificato.

Ho concluso che si tratta di una botnet perché ogni IP invia al massimo 3 richieste. Queste richieste sembrano indirizzare le pagine di accesso / registrazione. Originariamente erano brute forzare le pagine di informazioni utente (/ user / lkjasd) per vedere se l'utente esisteva, e quindi provare ad accedere come se non lo fossero.

La mia risposta iniziale era di impostare alcune RewriteRules per quel VHost che rilevava tutte le pagine di login / registrazione / utente e inviava immediatamente le 403 (solo gli amministratori si collegano a questo sito, e questo è raro). Questo ha tolto il carico al nostro server a causa della risposta rapida, quindi tutti i nostri siti sono sottoposti a backup.

Tuttavia, ora sono 3 giorni in quella soluzione e gli attacchi non sono rallentati. Hanno eliminato la maggior parte degli attacchi di login / registrazione e ora stanno inviando richieste GET e POST alla mia homepage, con il referer impostato come / user / login. Suppongo che si tratti di un tentativo di dirottare una sessione o di indurre il sito a pensare di aver appena effettuato l'accesso.

Ovviamente non posso impostare una RewriteRule su 403 sulla home page, quindi in che altro modo posso difendermi da questo? Il traffico non è insopportabile, ma mi fa sentire a disagio lasciandoli correre, e sono un po 'nervoso per il conto della mia banda alla fine del mese.

    
posta jwegner 12.04.2013 - 14:58
fonte

1 risposta

4

Un attacco DDoS è quasi impossibile da prevenire o fermare a livello locale.

Incoraggio strongmente l'uso di un servizio come CloudFlare che ha lo scopo di mitigare gli attacchi DDoS. Un'altra alternativa è il coordinamento con il tuo ISP per eliminare il traffico DDoS.

Il recente attacco Spamhaus DDoS dimostra quanto sia efficace un servizio come CloudFlare può essere utile per mitigare gli attacchi DDoS su larga scala. Mentre la quantità di larghezza di banda che viene lanciata sul bersaglio è sufficiente a quasi sopraffare anche singoli punti di scambio Internet , il sito target è rimasto accessibile durante l'attacco.

Modifica: leggendo di nuovo la tua domanda, sembra che la tua pagina di accesso debba essere accessibile solo a pochi amministratori. In tal caso, richiedere una VPN per accedere alla pagina di accesso potrebbe fare il trucco. Il mio punto precedente resta comunque valido, se un attaccante sufficientemente determinato è disposto ad espandere le risorse sul tuo sito, puoi solo mitigare gli attacchi attraverso un servizio come CloudFlare.

    
risposta data 12.04.2013 - 15:00
fonte

Leggi altre domande sui tag