ugrás a tartalomhoz

Syn Flood, 40 egyidejű http kapcsolat

s_volenszki · 2008. Jún. 11. (Sze), 16.23
Sziasztok!

Arra szeretnélek megkérni titeket, hogy mondjatok véleményt a következő szituációról.

Ma felhívott az egyik céges ügyfelünk, hogy nem tudja megnézni a weboldalunkat. Mondtam neki ránézek és gond nélkül betöltődött. Futottunk néhány kört, és kiderült, hogy a szerverünk tűzfala tiltó listára tett az IP címét, mert állítólag az az egy IP felzabált töb mint 40 egyidejű http kapcsolatot (aztán kivettük és most megint ok).

A weboldal dinamikus tartalomból épül, php-vel mysql-ből, és az adatbázis műveltetéshez szükséges php parancsokon kívül nem használ semmi extrát. Van egy képfeltöltő űrlap, teljesen mezei POST, ráadásul csak a .jpg fájlokat töltheti fel a látogató.

Tudom, hogy sok minden okozhatta a kialakult helyzetet (szolgáltató mondott számomra kínai dolgokat), de szerintetek mégis mit kellene megvizsgálni?

Azt mondták, ilyen szoftveres környezetben képtelenség kattintgatós módszerrel 40 aktív http kapcsolatot létrehozni egy időben.

Van olyan progi, ami (ablakozós oprendszer) regisztrálja a teljes http forgalmat? Érdemes a router logfile-ját elemezni?

Tanácstalan vagyok...
s_volenszki
‹ Freemail problema egyszerűen menedzselhető webes képtár készítése ›
 
1

Wireshark

zila · 2008. Jún. 11. (Sze), 16.48
Wireshark-kal ( http://www.wireshark.org/ ) nem csak http, de teljes hálózati forgalmat tudsz nézni (no meg ott a tcpdump, de az nem ablakos). Amúgy letöltőprogramok simán tudnak 40 aktív kapcsolatot létrehozni (pl. httrack). Natolt céges hálóról is könnyű 40 kapcsolatot csinálni, elég ha minden dolgozónak beállítják kezdőlapnak a céges oldalt...
2

Köszi!

s_volenszki · 2008. Jún. 11. (Sze), 18.30
Feltelepíttetem az ügyféllel, aztán meglátjuk mi történik.

Egyébként a Firefox-on kívül nem volt megnyitva olyan alkalmazás a gépen ami használ http-t, a hálózat 4 gépből áll, amiből három ki volt kapcsolva. Ahhoz viszont elég géppuska kezű céges user állomány kell, hogy tök egyszerre kattintsanak 40-en a céges kezdőoldalra! :)

s_volenszki
3

Nem biztos....

janoszen · 2008. Jún. 11. (Sze), 19.01
Nem biztos hogy rosszindulat de nyilván kellenetlen. Nekünk pl a Nagios és egyéb figyelőszoftverek szoktak közel azonos időpontban rácuppanni a szolgáltatásokra. Tényleg érdemes nézegetni a tcpdump-ot, abból ki is tudsz exportálni és talán Wireshark-kal be tudod olvastatni a könnyebb nézegetés kedvéért.
4

Bugos kliensek

vbence · 2008. Jún. 12. (Cs), 09.27
Az IE szokott olyat, hogy pár másodpercen belül 10-20 azonos kérést nyom a szerverre (ezt csak a logból szoktam látni). A FF is tud érdekes dolgokat produkálni. Főleg ha mindenféle kiterjesztések is vannak telepítve (régen volt olyan dolog, ami automatiksuan egy kattintással előre eltöltött minden linket az oldalról).

A downloadú-csoda a másik, bár nem hinném, hogy van olyan progri a 21. században, ami alapból 40 kapcsolat nyitna egyazon szerverre.

Szerintem addig egyáltalán nem érdemes foglalkozni vele amég nem fordul elő újra. Elég akkor a http figyelő cuccokat beiktatni... Addig símán betudható a körülmények egyszeri furcsa összejtszásának.

Az informatika nem egy egzakt tudomány ;)

Ja, és még egy dolog: a SYN floodot ne keverjük ide. Az nem sok egyidejű kapcsolat megnyitását jelenti,ennél ezért szofisztikáltabb dolog (és nem 40-es nagyságrendről van szó). Egy böngészővel ilyet nem tudsz csinálni, csak ha hiba van az oprendszered tcp/ip stackjében. Vagy szándékosan valami speckó programmal.
5

Ezt mondta a szolgáltató is!

s_volenszki · 2008. Jún. 12. (Cs), 21.34
Ezt mondta a szolgáltató is (mármint, hogy kattintással nem lehet ilyet csinálni), egyébként, csak hogy tiszta legyen, nekem a szolgáltató mondta, hogy:
SYN Flood miatt tiltó listára tette az IP-t a tűzfal.

ezért bátorkodtam idekeverni. Ja meg azt is mondta, hogy náluk 40 az azonos IP-hez tartozó max. egyidejű kapcsolatoknak a száma.

Minden esetre ez a WireShark tényleg jó, ha ismét előfordul, fel is telepíttetem!

Köszönöm nektek!

szerk.:
Most jut eszembe, hogy még azt is mondták hogy DOS Attack...