Skocz do zawartości
Zaloguj się, aby obserwować  
maciej92

Atak na serwer (cos pod Dos)

Polecane posty

Witam,

ostatnio mam problem z pewnym gościem za zbanowanie go na stronie postanowił się poznęcać i pozapychać RPS'a w OVH. Działa na takiej zasadzie, że zrobił strone na której są umieszczone dziesiątki iframe z dużymi plikami z serwera. W ciagu dnia potrafi przejść nawet milion zapytań HTTP przezto i strona jest prawie całkowicie zablokowana.

Blokowanie w .htaccess poprzez: RewriteRule nie daje efektu.

Dodam, że każde wejście przez niego ma taki sam adres refera.

Czy istnieje jakiś inny sposób na zablokowanie czegoś takiego?

Dodam, że blokada w iptables nie wchodzi wgre ponieważ używane przez niego ip pochodzą z całego świata od Chin do USA.

Pozdrawiam, Maciej

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Blokowanie w .htaccess poprzez: RewriteRule nie daje efektu.

Dodam, że każde wejście przez niego ma taki sam adres refera.

Czy istnieje jakiś inny sposób na zablokowanie czegoś takiego?

 

Dziwne, a możesz pokazać jak to blokujesz? :lol:.

 

Pozdr.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://(.+\.)?********\.pl/ [NC] 
RewriteRule .* - [F]

Dodam, że w logach pojawiaja się wtedy przy nim bląd 403 ale i tak to zapycha serwer

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zainstalowałem fail2ban skonfigurowałem na wylapywanie referera ale nie działa jak należy tz nie dodaje nikogo do zablokowanych.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

1. Ogranicz liczbę połączeń przez jedno IP było ostatnio o tym

2. Ogranicz przepustowość każdy klient będzie miał tyle ile mu potrzeba

 

example: http://blip.tv/file/1781922/

 

Normalnie na stronie można by sprawdzić czy strona jest w iframe np.

 

if (top.location == self.location) location.href = 'hell ';

 

Lecz tutaj gostek po prostu ładuje grafikę czy jakiś większy plik zapewne z jakiejś strony żebyś tylko znał adres mógłbyś napisać do adminów.

 

<iframe id="1" src="http://www.target.bla"></iframe>

<script>

var c=0;

function run()

{

c++;

document.getElementById(1).src="http://www.target.bla/?"+c;

setTimeout("run()", 500);

}

run();

</script>

Działa to jakoś tak, czyli jedynie można wykryć to poprzez referer

i brak ciastka doklejanego do każdego nagłówka plików php

 

 

 

#ANTI Slowloris HTTP DoS

 

LoadModule limitipconn_module modules/mod_limitipconn.dll

ExtendedStatus On

<IfModule mod_limitipconn.c>

<Location />

MaxConnPerIP 12

# exempting images from the connection limit is often a good

# idea if your web page has lots of inline images, since these

# pages often generate a flurry of concurrent image requests

</Location>

 

</IfModule>

 

mod bandwitch :P

 

<VirtualHost *>

BandwidthModule On

ForceBandWidthModule On

BandWidth all 512000

MinBandWidth all 64000

LargeFileLimit * 2000 30720

LargeFileLimit * 10240 20480

BandWidth 127.0.0.1 0

</VirtualHost>

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wszystkie rozwiazania zastosowałem i jest już lepiej narazie jeszcze myśle aby zoptymalizować jakoś apacha bo wiesza się gdzies po 5 minutach ale przez 5 minut można normalnie kożystać.

Co do adresu strony to je znam i napisze jutro do ludzi. Bo połączenia przychodzą z cba.pl, ddl2.pl, home.pl i może coś się da zrobić.

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To wytnij po prostu ip tych serwerów, nikt przecież nie korzysta z serwera w nazwie do przeglądania stron www, no chyba że proxy.. ale to co innego :P.

 

Pozdr

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

w sumie prosty sposób - może po prostu zmienić nazwy tych plików? odwołania do starych będą serwowały 404.

 

jeśli kolega nie zauważy to powinno pomóc :P

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tutaj nie wystarczy wytnąć adresy serwerów gdyż to tak naprawdę użytkownicy wchodzący na tą stronę otwierają ramkę.

 

Zgłoś te strony do jakiejś bazy z która zbiera informacje o niebezpiecznych stronach jak będzie komunikat iż strona może być niebezpieczna to prawie nikt tam nie będzie wchodził i skończą się ataki

 

http://www.google.com/safebrowsing/report_badware/

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pliki już wcześniej wyciałem .httaccess tylko na strone główna też są wejścia i apache nie wyrabia z php i 500 userów w ciagu 5 minut

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×