Flood http?

[DaFFX 14]

Witam,

 

Przybywam tutaj z nietypowym pytaniem, podejrzewam zalewanie przez kogoś mojego serwera www fałszywymi połączeniami. Strona stoi za proxy, także ip limit odcina dostęp do www. Jeżeli ktoś się na tym zna, prosiłbym o ocenę logów tcpdump jak i doradzenie co w tej sytuacji zrobić... uporczywa osoba nie chcę dać spokoju

 

 

.dmp -> http://www14.zippyshare.com/v/1o3TA52a/file.html

netstat w tym momencie wygląda np tak :

tcp        0      0 185.62.189.223:80       185.61.137.100:8902     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:24144    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:15798    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:58517    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:45170    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:47683    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:10049    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:53131    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:30673    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:33768    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:5210     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:64970    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:12788    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:57493    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:12458    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:59451    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:51243    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:31855    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:10215    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:8924     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:15199    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:22327    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:42359    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:43274    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:54094    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:29950    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:41369    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:18155    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:8909     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:42623    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:52888    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:19759    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:7326     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:1753     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:46658    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:4783     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:48316    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:23378    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:27456    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:10385    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:2867     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:23557    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:38808    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:28318    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:40909    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:63174    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:54627    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:28397    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:54693    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:46415    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:13021    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:2553     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:61582    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:25593    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:61811    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:7049     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:14962    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:43210    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:60216    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:10613    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:26489    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:22495    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:33347    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:24301    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:42666    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:9219     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:16628    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:8026     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:27137    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:11611    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:29922    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:37292    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:6659     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:12406    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:55754    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:56774    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:30078    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:53278    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:30486    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:1709     TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:38268    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:31058    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:62935    TIME_WAIT
tcp        0      0 185.62.189.223:80       185.61.137.100:62195    TIME_WAIT

 

[xvps 3]

http://resources.infosecinstitute.com/dos-deflate-layer-7-dos-protection-tool/

[DaFFX 14]

Nie mogę tego zastosować ponieważ http przechodzi przez proxy hostingu. Także wytnę całe proxy.

[xvps 3]

No to według mnie chyba nic z tym nie zrobisz. Może zmiana czasu wygaszania połączenia TCP ... ale nie wiem co by to miało zmienić.

Jeśli "proxy hostingu" znaczy proxy firmy hostingowej to zgłoś problem i niech oni to wytną przed proxy.

Ale mogę się mylić ...

PS:

A jeśli to Twoje proxy [w sensie administracji] to zastosuj mechanizm taki jak w poprzednim linku, ale nie na łańcuchu INPUT ale na FORWARD. [jakby co mam gotowe reguły]

Pozdrawiam

Edytowano Czerwiec 1, 2016 przez xvps (zobacz historię edycji)

[lord101 18]

Przecież są jeszcze logi HTTP, gdzie jest przekazywany "HEADERS IP" wtedy można sprawdzić czy jest to naturalny ruch czy jednak nie. Jeśli chodzi o blokadę to jest już gorzej, bo można ją zrobić tylko na serwerze gdzie jest ustawione proxy (przed proxy).

[Pan Kot 1535]

Jak proxy działa odpowiednio, tak jak np. CloudFlare, to ustawia odpowiedni header precyzujący jakie jest IP źródłowe, a wtedy wystarczy dodać logikę po stronie nginxa czy czego tam używasz i wszystko się dzieje automatycznie.

 

Przykład od siebie, na bazie nginx + cloudflare:

limit_conn_zone $binary_remote_addr zone=conn_addr:1m;
limit_conn conn_addr 10;
 
limit_req_zone $binary_remote_addr zone=req_addr:1m rate=10r/s;
limit_req zone=req_addr burst=100;
 
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 104.16.0.0/12;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 131.0.72.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 199.27.128.0/21;
set_real_ip_from 2400:cb00::/32;
set_real_ip_from 2405:8100::/32;
set_real_ip_from 2405:b500::/32;
set_real_ip_from 2606:4700::/32;
set_real_ip_from 2803:f800::/32;
real_ip_header CF-Connecting-IP;

I limitowani są ładnie userzy docelowi, a nie CF.

Edytowano Czerwiec 1, 2016 przez Archi (zobacz historię edycji)