Pregunta de ataque de DOS

Nos inundan con la petición de la tela en nuestro sitio que aparece ser ataque del DOS.

  • todo está en el puerto 80
  • la distribución de los tamaños de los packages NO es el tráfico web normal
  • 33% de los packages son 64 o 66 bytes
  • 75% de los packages son 128 bytes o less
  • 99% de los packages son less de 256 bytes
  • estamos corriendo alnetworkingedor de 10K packages / segundo
  • durante una window de 5 segundos, vimos peticiones web de 822 direcciones IP distintas
  • todas las requestes son para / (la página de inicio)

hemos intentado cambiar la dirección IP, pero por desgracia el ataque está sucediendo en el nivel de nombre de dominio y no nivel de IP …

Cualquier ayuda sería apreciada.

3 Solutions collect form web for “Pregunta de ataque de DOS”

¿Hay algo más similar en todas las requestes (aparte de la request de /)? He visto algunos bashs DoS débiles en los que el atacante utiliza la misma cadena de agente de usuario para todo el ataque.

Si ese es el caso para usted, sólo puede volcar las requestes de esas cadenas de agente de usuario utilizando mod_rewrite (si está utilizando apache):

RewriteCond %{HTTP_USER_AGENT} TheBadUserAgentStringHere RewriteRule .* - [F,L] 

Eso evita que su server web se tome el time para procesar su página de inicio para esas requestes y devuelve un 403 / Prohibido al solicitante.

Si están golpeando GET / HTTP / 1.0, como rackerhacker dice, si usted puede ver algo similar en las cadenas UserAgent, usted podría intentar filtrarlo. Si su sitio es dynamic, podría considerar poner a Verniz en frente y codificar un TTL de 5 minutos o más para la página de inicio que elimina la carga de Apache y se dirige a un número de otros posibles vectores de ataque.

Si no está ejecutando Apache 2.2.15+, el próximo ataque será probablemente un ataque Vampire que el nuevo module request_timeout fue escrito para prevenir. Varnish / Squid y Nginx, Lighttpd, etc ya proteger contra ella debido a la forma en que manejan el tráfico.

Tienes que soportar el ataque, pero, cuando ven que sus esfuerzos no están funcionando, cambiarán las tácticas.

También puede ver si su empresa de alojamiento tiene algún process en el lugar para ayudar a identificar y luchar contra el ataque entrante.

De hecho terminamos usando la solución Preventier de Rackspace que detuvo el ataque.

  • Uso de barniz (sólo) para la mitigación de DDoS
  • Sitio ha estado bajo un ataque masivo DDOS durante 5 semanas ahora
  • iptables para contrarrestar los ataques DoS más comunes?
  • ¿Cómo puedo evitar que un DDOS no intencional ejecute ColdFusion 8 con IIS 6?
  • ¿Cómo leer sFlow?
  • Servidor actualmente en DDOS, no está seguro de qué hacer
  • Outlook para Mac, Active Directory DNS y DDOS
  • Reflejo amplificado reflejado en serveres DNS
  • IPs múltiples para un server para cambiarlo en caso de DoS / DDoS?
  • RedStation.com es el paraíso para los atacantes ddos, ¿Cómo presentar una queja?
  • ¿Cómo es posible que los servidores de nombres raíz manejen todas las solicitudes de DNS?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.