ddos atak na http [inac]
Michal Truban
miso na blackhole.sk
Úterý Červen 24 19:06:57 CEST 2003
Dobry den,
On Tuesday 24 June 2003 18:24, Milan Kerslager wrote:
> > Teraz je tam load okolo 0,4. Apache bezi, ale nikto sa nan neconnectne.
> To je blbe, dosly Vam zdroje... co rika: netstat -pant?
ako dosli zdroje ? hardwarove je stroj v poriadku...
teda nerobi to ziaden load, ani nic podobne.. skor zaflooduje
vsetky spojenia, takze normalna poziadavka nemoze byt vybavena. (ak ste
mysleli toto)
> Pokusil bych se i
> zjistit, zda si ten trouba vubec o neco rekne (tj. jestli vubec prijde
> GET neco\nHost: neco).
No sledoval som error logy apacha a zda sa, ze si stale pyta rozne *.avi,
*.mpg atd... par kont (3-4) sa tam vyskytuju permanentne... a z roznych
IP adries..
skusil som to vyriesit tak, ze som zmazal konta (aj z dns atd.., takze imho by
sa tym uz apache nemal riadit.. avsak musim pockat kym sa nacachuju dns..
ak netrepem sprostosti)
> Nicmene problem bude asi v tom, ze to nebude DDoS, ale jen "nekdo"
> generuje datagramy s podvrzenymi zpatecnimi adresami. Tj. mozna by Vam
> mohl pomoci provider, pokud by se podarilo vystopovat, odkud to prichazi
> (no, jste velky zakaznik, treba Vam pomohou).
Skusim.
> Blbe je, ze Apache tusim zapisuje do logu az po uspesnem vyrizeni
> pozadavku... Nicmene pokud je to drsne, pak bych uvazoval o prevedeni
> provozu na novou IP (pokud jsou vsechny virtualy na 1), tj. postavit
> vedle druhy stroj (mate ho, ze ano :-)) a zmenit DNS.
Ano, mame ho :). Tomuto rieseniu sa prave chceme vyhnut.. Imho je najmensi
problem pre utocnika zmenit IP, popripade DNS zaznam (keby sme pomenili dns..)
> No a pak je posledni rada - sehnat takovy HW, kteremu to bude jedno :-)
Neviem, ale myslim ze hardwarovo to uplne zvlada.. Len to nejak zaplni
"frontu" na apachovi...
> Pokud by spojeni zustavala otevrena, pak budete muset zkusit poladit
> /proc/sys/net/ipv4/*. Je otazka, zda existuje reseni pro Apache. Nicmene
> jeste byste mohl pouzit akceleracni proxy (tj. predstavit tomu stroji
> masinu), ktera bude poskytovat vetsi flexibilitu analyzy forwardovanych
> spojeni (to nevim, musel byste si o nich neco precist).
Ok.
vdaka.
Další informace o konferenci Linux