ddos atak na http [inac]
Milan Kerslager
milan.kerslager na pslib.cz
Úterý Červen 24 18:24:37 CEST 2003
On Tue, Jun 24, 2003 at 05:53:27PM +0200, Michal Truban wrote:
>
> Teraz je tam load okolo 0,4. Apache bezi, ale nikto sa nan neconnectne.
To je blbe, dosly Vam zdroje... co rika: netstat -pant?
> Ked dam tcpdump port 80, tak (aj ked je apache vypnuty) tam behaju pakety
> z rocnych IP, (vacsinou nake dialin.net,tiscalli atd.. nejake nemecke,
> francuzke, holandske atd..). IP sa dost menia a zatial nam nejak nefungoval
> sposob ako ich napchat do fw. (sa menia a je ich vela ...)
Zacal bych tim, ze bych se pokusil nejak vysledovat, cim jsou ta spojeni
vyjimecna (tj. napr. ze prijde SYN a hned RST nebo ze pak neprijde vubec
nic, jestli z jedne IP prijde za sebou nekolik SYN atd). Dulezite mozna
bude i to, zda smeruji vsechny na 1 IP nebo na sadu. Pokusil bych se i
zjistit, zda si ten trouba vubec o neco rekne (tj. jestli vubec prijde
GET neco\nHost: neco).
Nicmene problem bude asi v tom, ze to nebude DDoS, ale jen "nekdo"
generuje datagramy s podvrzenymi zpatecnimi adresami. Tj. mozna by Vam
mohl pomoci provider, pokud by se podarilo vystopovat, odkud to prichazi
(no, jste velky zakaznik, treba Vam pomohou).
Blbe je, ze Apache tusim zapisuje do logu az po uspesnem vyrizeni
pozadavku... Nicmene pokud je to drsne, pak bych uvazoval o prevedeni
provozu na novou IP (pokud jsou vsechny virtualy na 1), tj. postavit
vedle druhy stroj (mate ho, ze ano :-)) a zmenit DNS.
No a pak je posledni rada - sehnat takovy HW, kteremu to bude jedno :-)
Pokud by spojeni zustavala otevrena, pak budete muset zkusit poladit
/proc/sys/net/ipv4/*. Je otazka, zda existuje reseni pro Apache. Nicmene
jeste byste mohl pouzit akceleracni proxy (tj. predstavit tomu stroji
masinu), ktera bude poskytovat vetsi flexibilitu analyzy forwardovanych
spojeni (to nevim, musel byste si o nich neco precist).
--
Milan Kerslager
E-mail: milan.kerslager na pslib.cz
WWW: http://www.pslib.cz/~kerslage/
Další informace o konferenci Linux