Skocz do zawartości
DaFFX

Flood http?

Polecane posty

Witam,

 

Przybywam tutaj z nietypowym pytaniem, podejrzewam zalewanie przez kogoś mojego serwera www fałszywymi połączeniami. Strona stoi za proxy, także ip limit odcina dostęp do www. Jeżeli ktoś się na tym zna, prosiłbym o ocenę logów tcpdump jak i doradzenie co w tej sytuacji zrobić... uporczywa osoba nie chcę dać spokoju :D

 

 

netstat w tym momencie wygląda np tak :
tcp        0      0 185.62.189.223:80       185.61.137.100:8902     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:24144    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:15798    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:58517    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:45170    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:47683    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:10049    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:53131    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:30673    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:33768    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:5210     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:64970    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:12788    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:57493    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:12458    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:59451    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:51243    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:31855    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:10215    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:8924     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:15199    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:22327    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:42359    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:43274    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:54094    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:29950    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:41369    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:18155    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:8909     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:42623    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:52888    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:19759    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:7326     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:1753     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:46658    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:4783     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:48316    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:23378    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:27456    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:10385    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:2867     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:23557    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:38808    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:28318    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:40909    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:63174    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:54627    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:28397    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:54693    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:46415    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:13021    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:2553     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:61582    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:25593    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:61811    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:7049     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:14962    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:43210    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:60216    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:10613    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:26489    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:22495    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:33347    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:24301    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:42666    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:9219     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:16628    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:8026     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:27137    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:11611    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:29922    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:37292    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:6659     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:12406    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:55754    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:56774    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:30078    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:53278    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:30486    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:1709     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:38268    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:31058    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:62935    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:62195    TIME_WAIT

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie mogę tego zastosować ponieważ http przechodzi przez proxy hostingu. Także wytnę całe proxy.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No to według mnie chyba nic z tym nie zrobisz. Może zmiana czasu wygaszania połączenia TCP ... ale nie wiem co by to miało zmienić.

Jeśli "proxy hostingu" znaczy proxy firmy hostingowej to zgłoś problem i niech oni to wytną przed proxy.

Ale mogę się mylić ... :)

PS:

A jeśli to Twoje proxy [w sensie administracji] to zastosuj mechanizm taki jak w poprzednim linku, ale nie na łańcuchu INPUT ale na FORWARD. [jakby co mam gotowe reguły]

Pozdrawiam

Edytowano przez xvps (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Przecież są jeszcze logi HTTP, gdzie jest przekazywany "HEADERS IP" wtedy można sprawdzić czy jest to naturalny ruch czy jednak nie. Jeśli chodzi o blokadę to jest już gorzej, bo można ją zrobić tylko na serwerze gdzie jest ustawione proxy (przed proxy).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jak proxy działa odpowiednio, tak jak np. CloudFlare, to ustawia odpowiedni header precyzujący jakie jest IP źródłowe, a wtedy wystarczy dodać logikę po stronie nginxa czy czego tam używasz i wszystko się dzieje automatycznie.

 

Przykład od siebie, na bazie nginx + cloudflare:

limit_conn_zone $binary_remote_addr zone=conn_addr:1m;
limit_conn conn_addr 10;
 
limit_req_zone $binary_remote_addr zone=req_addr:1m rate=10r/s;
limit_req zone=req_addr burst=100;
 
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 104.16.0.0/12;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 131.0.72.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 199.27.128.0/21;
set_real_ip_from 2400:cb00::/32;
set_real_ip_from 2405:8100::/32;
set_real_ip_from 2405:b500::/32;
set_real_ip_from 2606:4700::/32;
set_real_ip_from 2803:f800::/32;
real_ip_header CF-Connecting-IP;

I limitowani są ładnie userzy docelowi, a nie CF.

Edytowano przez Archi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×