DoS атака и как ее зарубить

Автор:
Опубліковано: 3426 днів назад (25 січня 2012)
Редагувалося: 1 раз — 25 січня 2012
Настрій: ничего так
Грає: никакой
0
Голосів: 0
Вообщем уже 2 сутки пытаюстся школьники задосить сервер (DoS), абузу провайдерам кидать не стал, хотя по Ip четко определяется 2 провайдера. (Укр телеком). Вообщем мне в лом постоянно добавлять айпи в фаервол, поскольку это сидеть и постонянно смотреть за тем как он меняет их. Вообщем сидел я думал реашил пойти в конфиг /etc/nginx/nginx.conf для тех кто в такне, система используеться на сервере Debian 6, Apache2, nginx 1.0, php5.3
Вообщем идем в конфиг и вбиваем строки:
вверху в секцию http
Код PHP:
  1. limit_req_zone $binary_remote_addr zone=one:16m rate=8r/s;
и в секцию вирт хоста или сервера в целом, я просто внес в сервер в целом, поскольку вирт хостов на сервере 260 и вносить в каждый ломает, а атаку может делать на любой сайт.

Вообщем вписываем:
Код PHP:
  1. limit_req zone=one burst=15;
(или значение 6-8) но в данном случае достаточно и 15 что бы сервер вообще не ощущал что к ниму что то там стучат.

Что мы имели в логах до внесения строк:
Код PHP:
  1. 95.78.51.95 - - [12/Jan/2012:16:15:06 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  2. 95.78.51.95 - - [12/Jan/2012:16:15:06 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  3. 95.78.51.95 - - [12/Jan/2012:16:15:06 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  4. 95.78.51.95 - - [12/Jan/2012:16:15:06 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  5. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  6. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  7. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  8. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  9. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  10. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  11. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  12. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  13. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  14. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  15. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  16. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  17. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  18. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  19. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  20. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  21. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  22. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  23. 95.78.51.95 - - [12/Jan/2012:16:15:07 +0200] "GET / HTTP/1.0" 400 65536 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
По логу видно что с одного айпи делаеться около 20-25 обращений к одной и той же странице в 1 сек. (время обращения пострите) явно не человек в браузере тыкает ф5 smile если кто сможет открыть страницу 25 раз в секунду я медаль дам.

И имеем после:
Теперь после в логах nginx:
Код PHP:
  1. 91.207.210.62 - - [13/Jan/2012:06:25:12 +0200] "GET / HTTP/1.1" 503 213 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  2. 91.207.210.62 - - [13/Jan/2012:06:25:12 +0200] "GET / HTTP/1.1" 503 213 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  3. 95.78.27.27 - - [13/Jan/2012:06:25:12 +0200] "GET / HTTP/1.1" 503 615 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;
  4. SV1; .NET CLR 1.1.4322)"
  5. 91.207.210.62 - - [13/Jan/2012:06:25:12 +0200] "GET / HTTP/1.1" 499 0 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  6. 91.207.210.62 - - [13/Jan/2012:06:25:12 +0200] "GET / HTTP/1.1" 503 213 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  7. 95.78.27.27 - - [13/Jan/2012:06:25:12 +0200] "GET / HTTP/1.1" 503 615 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;
  8. SV1; .NET CLR 1.1.4322)"
  9. 91.207.210.62 - - [13/Jan/2012:06:25:12 +0200] "GET / HTTP/1.1" 503 213 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  10. 91.207.210.62 - - [13/Jan/2012:06:25:12 +0200] "GET / HTTP/1.1" 503 213 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  11. 91.207.210.62 - - [13/Jan/2012:06:25:12 +0200] "GET / HTTP/1.1" 499 0 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
  12. 95.78.27.27 - - [13/Jan/2012:06:25:12 +0200] "GET / HTTP/1.1" 503 615 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;
  13. SV1; .NET CLR 1.1.4322)"
  14.  
Ответ ошибка 503 браузеру, потому что тот привысил порог подключений в единицу времени, а это 15 как мы указали.

И в логе ошибок такое:
Код PHP:
  1. olimp.hoippo.km.ua, request: "GET / HTTP/1.1", host: "olimp.hoippo.km.ua"
  2. 2012/01/13 06:25:27 [error] 7623#0: *1377430 limiting requests, excess: 15.440 by zone "one", client: 95.78.27.27, server: ol
  3. imp.hoippo.km.ua, request: "GET / HTTP/1.1", host: "olimp.hoippo.km.ua"
  4. 2012/01/13 06:25:27 [error] 7623#0: *1377431 limiting requests, excess: 15.208 by zone "one", client: 95.78.27.27, server: ol
  5. imp.hoippo.km.ua, request: "GET / HTTP/1.1", host: "olimp.hoippo.km.ua"
  6.  
Сервер заблокировал обращение на уровне nginx и записал *1377431 limiting requests, excess: 15.208 by zone "one", впринципе можно написать парсер и просто спарсить все айпи которые заблокированы и внести их в фаервол.

Что вприципе я делаю при DDoS . Правда при нем конфиги очень меняю, а не только 2 строки.

Вообщем апач даже про эти единичные обращения не знают.GET / HTTP/1.0
Как самому установить CDMA 3G антенну | Whois И CSF
Коментарі (2)
Админчег # 30 січня 2012 в 20:24 0
У меня есть VDS сервер, иногда бывает сайт тормозит реально и на сайте в статистике показывает что гостей больше 100, скажите, може это dos? И еще, если Вам заплатить вы можете поковырять защиту моего вдс что бы сайт работал нормально?
0 # 30 січня 2012 в 20:43 0
написал в личку

← Назад

Яндекс.Метрика