Hallo Tweakers,
Ik heb een server en heb sinds gister last van DoS'ers (dus geen DDoS). De aanvallers hebben een programma waar ze een url invullen van een site die op mijn server staat, waarna dat programma tig requests gaat doen. Al die requests komen dus gewoon van één IP, maar de ellende is dat ze heel veel IP's tot hun beschikking hebben (uit alle landen van de wereld zo'n beetje), maar de aanvallen worden telkens na elkaar uitgevoerd, dus vanaf 1 IP tegelijk.
De server draait op Debian en als firewall heb ik csf + lfd.
Volgens mijn hoster kan hij er weinig tegen doen, maar ik heb het idee dat ik niet de enige op de wereld ben, en dat er vast wel iets aan te doen is.
Ik heb weinig server-ervaring, maar om nou maar genoegen te nemen met deze situatie en een kwartier downtime per dag te accepteren dat gaat me wat ver...
Het zijn allemaal POST of GET requests naar dezelfde pagina, en echt tig per seconde ofzo, zodat Apache het niet meer aan kan (alle threads zijn dan met dat ene IP bezig) en de server onbereikbaar wordt.
Een oplossing zou zijn om een maximum van x requests per y seconden toe te staan, maar dan zit je er weer mee dat als er een site met veel afbeeldingen wordt geladen, dat die bezoeker ook veel requests doet, maar die zijn dan wel legitiem.
Een limiet van maximaal x pagina's (dus geen requests) per y seconden zou dan beter zijn, want dan kun je het gewoon weer afkappen op 3 pagina's per seconde en dan moet het goed gaan. Maarja, voor apache is een pagina hetzelfde als een afbeelding lijkt me zo...
Nog een optie zou zijn om maximaal x requests per y seconden voor een bepaalde pagina in te stellen (dus je kunt maximaal 3x per seconde /index.php of /afbeeldingen/001.gif opvragen).
Zodra ik het IP van de aanvaller op de blacklist zet dan is het opgelost, maar ik kan niet nonstop de status lijst in de gaten houden en IP's direct bannen.
Iemand een idee?
(Alvast mijn excuses als dit in het verkeerde subforum staat.)
edit: oh, ik weet niet of het wel een DoS is, het zijn in ieder geval heel veel (geldige) POST of GET requests naar bijvoorbeeld site.com/index.php, daardoor worden de apache threads weggetrokken, de verbinding zit niet vol in ieder geval
(kick naar Beveiliging & Virussen?)
Ik heb een server en heb sinds gister last van DoS'ers (dus geen DDoS). De aanvallers hebben een programma waar ze een url invullen van een site die op mijn server staat, waarna dat programma tig requests gaat doen. Al die requests komen dus gewoon van één IP, maar de ellende is dat ze heel veel IP's tot hun beschikking hebben (uit alle landen van de wereld zo'n beetje), maar de aanvallen worden telkens na elkaar uitgevoerd, dus vanaf 1 IP tegelijk.
De server draait op Debian en als firewall heb ik csf + lfd.
Volgens mijn hoster kan hij er weinig tegen doen, maar ik heb het idee dat ik niet de enige op de wereld ben, en dat er vast wel iets aan te doen is.
Ik heb weinig server-ervaring, maar om nou maar genoegen te nemen met deze situatie en een kwartier downtime per dag te accepteren dat gaat me wat ver...
Het zijn allemaal POST of GET requests naar dezelfde pagina, en echt tig per seconde ofzo, zodat Apache het niet meer aan kan (alle threads zijn dan met dat ene IP bezig) en de server onbereikbaar wordt.
Een oplossing zou zijn om een maximum van x requests per y seconden toe te staan, maar dan zit je er weer mee dat als er een site met veel afbeeldingen wordt geladen, dat die bezoeker ook veel requests doet, maar die zijn dan wel legitiem.
Een limiet van maximaal x pagina's (dus geen requests) per y seconden zou dan beter zijn, want dan kun je het gewoon weer afkappen op 3 pagina's per seconde en dan moet het goed gaan. Maarja, voor apache is een pagina hetzelfde als een afbeelding lijkt me zo...
Nog een optie zou zijn om maximaal x requests per y seconden voor een bepaalde pagina in te stellen (dus je kunt maximaal 3x per seconde /index.php of /afbeeldingen/001.gif opvragen).
Zodra ik het IP van de aanvaller op de blacklist zet dan is het opgelost, maar ik kan niet nonstop de status lijst in de gaten houden en IP's direct bannen.
Iemand een idee?
(Alvast mijn excuses als dit in het verkeerde subforum staat.)
edit: oh, ik weet niet of het wel een DoS is, het zijn in ieder geval heel veel (geldige) POST of GET requests naar bijvoorbeeld site.com/index.php, daardoor worden de apache threads weggetrokken, de verbinding zit niet vol in ieder geval
(kick naar Beveiliging & Virussen?)
[ Voor 5% gewijzigd door Verwijderd op 11-04-2012 20:30 ]
:strip_icc():strip_exif()/u/22837/scrubs.jpg?f=community)
:strip_icc():strip_exif()/u/349545/crop5922a5932537e_cropped.jpeg?f=community)
/u/371388/whatispaul.png?f=community)
/u/1830/acm.png?f=community)
:strip_icc():strip_exif()/u/162759/crop63c596b826c44.jpg?f=community)