ddos op webserver

**handy** · 12/11/04 13:27

Even een vraagje een webserver van ons gaat compleet over de zeik omdat er een ddos wordt gedaan op een bepaalde website. Dit gaat echt met honderden tegelijk. Deze "clients" vragen steeds zoo.gif op.

Het vreemde is dat ik geen reden heb voor deze aanval heb; de site is van een mevrouw die een hobby site heeft over rolstoelsport.

Weet iemand wat we hier tegen kunnen doen, bijv combinatie van mod_security and iptables.

**Wido** · 12/11/04 13:45

Website tijdelijk via de DNS routen naar 127.0.0.1?

**handy** · 12/11/04 13:47

Is een optie, maar dit gaat nu al een behoorlijke tijd door, na een week de website ge-null-route te hebben, beginnen ze weer vrolijk ...

Zoek iets strucureels

**Eris** · 12/11/04 13:54

bestand wissen?

**handy** · 12/11/04 14:24

het bestand bestaat niet, en zal ook niet helpen, want het zijn hoe dan ook http requests.

**Wido** · 12/11/04 17:28

Komt het van steeds de zelfe IP's? Zo ja: iptables -A INPUT -p tcp -s <ip> -j DROP

Anders, kan je een regel maken waarin je per IP maximaal x aantal HTTP connecties per seconde toestaat.

**maxnet** · 12/11/04 17:43

Als het maar een paar honderd IPs zijn kan je ze allemaal met IPtables blocken.

Eventueel met een scriptje in de trend van:

Code:

tail -f /var/log/httpd-access.log | grep zoo.gif | php -r 'while ($line = fgets(STDIN)) if ( ereg("([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) ", $line, $r) ) system("/sbin/iptables -A INPUT -s ".$r[1]." -j drop");'

**Ic3man** · 12/11/04 18:21

Maar het dataverkeer komt dan toch nog steeds aan op de betreffende webserver? Het wordt dan toch alleen niet beantwoord, of zie ik dat verkeerd?

**maxnet** · 12/11/04 18:40

Origineel geplaatst door Ic3man
Maar het dataverkeer komt dan toch nog steeds aan op de betreffende webserver? Het wordt dan toch alleen niet beantwoord, of zie ik dat verkeerd?

Het betreft hier geen DDoS waarbij losse pakketjes vol met data naar een server worden gestuurd.
De computers gedragen zich in dit geval als "website bezoekers" en proberen een niet bestaand bestand een groot aantal keer op te vragen.
Hiermee zorg je niet zozeer voor veel verkeer maar vertraag je de webserver zelf met veel requests.

Op het moment dat je het IP blokeert lukt het opzetten van de verbinding niet meer en neemt zowel de load als de hoeveelheid bandbreedte behoorlijk af.

**handy** · 12/11/04 18:41

maxnet die oplossing van jouw is op zich prima, echter hebben alle sites een vhost access file. En het gaat me niet om de bandbreedte, het gaat me er om dat men apache child procesess niet vol lopen

**maxnet** · 12/11/04 18:44

Origineel geplaatst door handy
maxnet die oplossing van jouw is op zich prima, echter hebben alle sites een vhost access file. En het gaat me niet om de bandbreedte, het gaat me er om dat men apache child procesess niet vol lopen

Kwestie van de vhost acces file van de desbetreffende site opgeven i.p.v. /var/log/httpd-access.log.

Op het moment dat de desbetreffende IPs geen verbinding kunnen hebben, lopen ook je processes niet vol...

Onderwerp Gereedschap

Toon

Onderwerp: ddos op webserver

ddos op webserver

Webhostingtalk.nl

Link met ons

Partners

Contact