ugrás a tartalomhoz

Weboldal túlterheléses támadása

erik0415 · 2015. Okt. 11. (V), 19.55
Sziasztok!

Létezik egy támadás a webszerverek felé ami valami olyasmit csinál, hogy túlterheli az apache-t és ezáltal elérhetetlenné teszi a weboldalt. Ez a támadás nem tölti ki a sávszélességet, tehát ha fut más szerver arról az ip-ről az ugyan úgy működik. Ezt a támadást ki lehet valahogy védeni? Olvastam erről a modulról: mod-evasive, telepítettem is és be is állítottam, az ip-ről amiről a teszt támadás ment le is tiltotta a hozzáférést, de hiába kap 403 forbidden-t akkor is túlterheli és megöli a webszervert. Létezik ez ellen valami védelem?
‹ XAMPP- ban Apache nem indul rendesen Hogy érdemes akadós Linux-ot debuggolni? ›
 
1

Tűzfal

vbence · 2015. Okt. 11. (V), 21.01
just like other evasive tools, is only as useful to the point of bandwidth and processor consumption (e.g. the amount of bandwidth and processor required to receive/process/respond to invalid requests), which is why it’s a good idea to integrate this with your firewalls and routers for maximum protection.

http://www.zdziarski.com/blog/?page_id=442

Vagyis ha már detektált egy támadó IP-t és feketlistára tette a tűzfalba is fel kéne venni az IP tiltását (így nem fog eljutni az apache-ig).
2

Az oké, hogy azt letiltom, de

erik0415 · 2015. Okt. 12. (H), 17.30
Az oké, hogy azt letiltom, de nem nézem mindig a weboldalt meg a logot, és nekem valami olyan megoldás kell, ami automatikusan blockolja vagy csinál vele valamit.
3

Ezt az egyedet úgy hiszem

ecrazor · 2015. Okt. 13. (K), 08.56
Ezt az egyedet úgy hiszem rendszergazdának hívják. :-)
4

sh

vbence · 2015. Okt. 13. (K), 10.07
Az összes linux eszköz szkriptelhető, van sed és awk. Nem bonyolult feladat. Rég használtam a mod_evasive-et, nem emlékszem, hova logol pontosan, de ha azt a fájlt tail-eled egy szkriptnek, ami grep+sed párossal kiszedi az IP cimeket, akkor csak hozzáadni és törölni kell egy-egy szabályt iptables-ben (ami egy-egy sor).

Szóval 100%ban automatizálható.
5

Tűzfal

Hidvégi Gábor · 2015. Okt. 13. (K), 15.32
Egy ilyen szűrésnek nem eleve a tűzfalban kéne lennie? Miért foglalkozzon a webszerver olyannal, ami nem a dolga?
6

Döntés

vbence · 2015. Okt. 13. (K), 18.22
A döntés meghozására az apache modul logikus helynek tűnik, ott áll rendelkezésre elég infó. A HTTP kérés itt már parzolva van. Ha már kiderült, hogy ki a rosszalkodó akkor mehet a tűzfalba.
7

A fail2ban-t mindenképp

szjanihu · 2015. Okt. 13. (K), 21.06
A fail2ban-t mindenképp üzemeld be, hasznos tool. DDoS ellen is védekezhetsz vele (bár üzemeltetés terén eléggé zöldfülű vagyok, valószínűleg vannak ennél jobb megoldások is).
8

Bruteforce blocker

vbence · 2015. Okt. 14. (Sze), 08.54
Általában jó módszer a logfájlok utófeldolgozása (regex minták keresése, majd "rosszpontok" számlálása). Sok eszköz működik ezen az elven.

Az alábbi pl SSH bruteforce-t szűr, de könnyen adatpálható más szolgáltatásokra:
http://danger.rulez.sk/projects/bruteforceblocker/
Eredetileg BSD-re volt, de aztán lett linuxos (iptables) változat is.
9

Tulterheles

janoszen · 2015. Okt. 14. (Sze), 15.43
Az az igazsag, hogy a tulterheleses tamadas ellen szerver szinten csak nagyon korlatozottan tudsz vedekezni. Ha kicsit is komolyan van gondolva a vedekezes, akkor egy olyan szolgaltatot kell alkalmazni aki ilyenre specializalodik. Leggyakrabban emlitett pelda a CloudFlare.

Szerver oldalon annyiban tudsz vedekezni, hogy mered a hozzafereseket es a tuzfalban tiltod ki a delikvenst. Itt azonban figyelembe kell venni, hogy ha az algoritmusod a gyanus IP-kre nem eleg pontos, igen konnyen ki tudsz tiltani legitim felhasznalokat is. Eppen ezert erosen javaslom a fentit.