Pregunta de ataque de DOS

Nos inundan con la petición de la tela en nuestro sitio que aparece ser ataque del DOS.

  • todo está en el puerto 80
  • la distribución de los tamaños de los packages NO es el tráfico web normal
  • 33% de los packages son 64 o 66 bytes
  • 75% de los packages son 128 bytes o less
  • 99% de los packages son less de 256 bytes
  • estamos corriendo alnetworkingedor de 10K packages / segundo
  • durante una window de 5 segundos, vimos peticiones web de 822 direcciones IP distintas
  • todas las requestes son para / (la página de inicio)

hemos intentado cambiar la dirección IP, pero por desgracia el ataque está sucediendo en el nivel de nombre de dominio y no nivel de IP …

Cualquier ayuda sería apreciada.

3 Solutions collect form web for “Pregunta de ataque de DOS”

¿Hay algo más similar en todas las requestes (aparte de la request de /)? He visto algunos bashs DoS débiles en los que el atacante utiliza la misma cadena de agente de usuario para todo el ataque.

Si ese es el caso para usted, sólo puede volcar las requestes de esas cadenas de agente de usuario utilizando mod_rewrite (si está utilizando apache):

RewriteCond %{HTTP_USER_AGENT} TheBadUserAgentStringHere RewriteRule .* - [F,L] 

Eso evita que su server web se tome el time para procesar su página de inicio para esas requestes y devuelve un 403 / Prohibido al solicitante.

Si están golpeando GET / HTTP / 1.0, como rackerhacker dice, si usted puede ver algo similar en las cadenas UserAgent, usted podría intentar filtrarlo. Si su sitio es dynamic, podría considerar poner a Verniz en frente y codificar un TTL de 5 minutos o más para la página de inicio que elimina la carga de Apache y se dirige a un número de otros posibles vectores de ataque.

Si no está ejecutando Apache 2.2.15+, el próximo ataque será probablemente un ataque Vampire que el nuevo module request_timeout fue escrito para prevenir. Varnish / Squid y Nginx, Lighttpd, etc ya proteger contra ella debido a la forma en que manejan el tráfico.

Tienes que soportar el ataque, pero, cuando ven que sus esfuerzos no están funcionando, cambiarán las tácticas.

También puede ver si su empresa de alojamiento tiene algún process en el lugar para ayudar a identificar y luchar contra el ataque entrante.

De hecho terminamos usando la solución Preventier de Rackspace que detuvo el ataque.

  • Sitio ha estado bajo un ataque masivo DDOS durante 5 semanas ahora
  • Apache siendo martillado por las peticiones sin sentido, ¿cómo parar?
  • Bloquear ataques LOIC salientes en una networking
  • Beneficios del producto de firewall independiente sobre los grupos de security de AWS para requestes de spam
  • Linux - Limite el uso máximo de ancho de banda por IP
  • Cómo encontrar el valor de time de espera de connection en linux?
  • Analizar files de logging de log de Apache y prohibir IPs
  • iptables, qué abrir en INPUT para wget
  • ¿Cómo afecta la networkingirección de URL a los ataques DDoS?
  • Buscar direcciones IP con la mayoría de las conexiones en el sistema
  • Detectar el proceso que está realizando un ataque DDoS de salida
  • ¿Cómo proteger contra el ataque DDOS?
  • Debian iptables, netstate. DDOS?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.