Медленный ддос

Тема в разделе "Ддос-атаки", создана пользователем admin, 21 окт 2014.

  1. Отличительными чертами медленных ддос-атак (Slow DDos) являются относительно небольшое количество задействованных в них ботов и наличие определенной тактики, использующей те или иные уязвимости конкретного сервера.

    Если задача мощных ддос-атак это положить сервер, то медленный ддос может быть использован для дестабилизации и замедления работы сайта. При медленной ддос-атаке сайт может переодически виснуть и выдавать ошибки, а владелец сайта будет грешить на хостера, каналы связи, ДНС или даже на плохую погоду, не догадываясь, что его ддосят. Пользователей будут раздражать глюки сайта и значительная их часть может уйти к конкурентам, которые, возможно, и являются заказчиками ддоса.

    Медленный ддос не требует больших ресурсов и может осуществляться даже с одной машины. Для организации медленных ддос-атак могут использоваться специальные программы, такие как Slowloris и R.U.D.Y (R U Dead Yet?). Эти программы работают по принципам Slow Post и Slow HTTP headers. Практика показывает, что веб-сервера Apache, Nginx, Lightpd, IIS с дефолтными настройками уязвимы к подобным атакам.
     
    Последнее редактирование: 11 ноя 2014
    21 окт 2014
  2. Недавно сервер завис глянул логи, это похоже на медленный ддос?
    Код:
    79.141.160.93 - - [18/Dec/2014:07:03:54 +0400] "GET / HTTP/1.0" 200 52091 "http://xxx.com/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
    79.141.160.93 - - [18/Dec/2014:07:03:56 +0400] "POST /login/login HTTP/1.0" 200 15183 "http://xxx.com/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
    79.141.160.93 - - [18/Dec/2014:07:03:57 +0400] "GET /forums/127/ HTTP/1.0" 200 55164 "http://xxx.com/forums/127/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
    79.141.160.93 - - [18/Dec/2014:07:03:59 +0400] "GET /forums/180/ HTTP/1.0" 200 36153 "http://xxx.com/forums/180/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
    79.141.160.93 - - [18/Dec/2014:07:04:03 +0400] "GET /forums/127/ HTTP/1.0" 200 44761 "http://xxx.com/forums/127/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
    79.141.160.93 - - [18/Dec/2014:07:04:05 +0400] "GET /forums/224/ HTTP/1.0" 200 26427 "http://xxx.com/forums/224/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
    79.141.160.93 - - [18/Dec/2014:07:04:09 +0400] "GET /forums/27/ HTTP/1.0" 200 37744 "http://xxx.com/forums/27/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
    79.141.160.93 - - [18/Dec/2014:07:04:10 +0400] "POST /login/login HTTP/1.0" 200 15192 "http://xxx.com/login" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
    79.141.160.93 - - [18/Dec/2014:07:04:11 +0400] "GET /forums/36/ HTTP/1.0" 200 30243 "http://xxx.com/forums/36/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
    79.141.160.93 - - [18/Dec/2014:07:04:12 +0400] "POST /login/login HTTP/1.0" 200 15193 "http://xxx.com/login/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
    79.141.160.93 - - [18/Dec/2014:07:04:13 +0400] "GET /forums/27/ HTTP/1.0" 200 33281 "http://xxx.com/forums/27/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36" "-"
    5.254.151.57 - - [18/Dec/2014:07:04:32 +0400] "GET /forums/36/ HTTP/1.0" 200 30287 "http://xxx.com/forums/36/" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
    5.254.151.57 - - [18/Dec/2014:07:04:32 +0400] "POST /login/login HTTP/1.0" 200 15219 "http://xxx.com/login/" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
    5.254.151.57 - - [18/Dec/2014:07:04:33 +0400] "GET / HTTP/1.0" 200 52091 "http://xxx.com/" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
    5.254.151.57 - - [18/Dec/2014:07:04:36 +0400] "GET /forums/224/ HTTP/1.0" 200 26427 "http://xxx.com/forums/224/" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
    5.254.151.57 - - [18/Dec/2014:07:04:36 +0400] "POST /login/login HTTP/1.0" 200 15191 "http://xxx.com/login" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
    5.254.151.57 - - [18/Dec/2014:07:04:37 +0400] "GET /forums/127/ HTTP/1.0" 200 54752 "http://xxx.com/forums/127/" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
    5.254.151.57 - - [18/Dec/2014:07:04:37 +0400] "POST /login/login HTTP/1.0" 200 15200 "http://xxx.com/login" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
    5.254.151.57 - - [18/Dec/2014:07:04:38 +0400] "GET /forums/77/ HTTP/1.0" 200 37744 "http://xxx.com/forums/77/" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
    5.254.151.57 - - [18/Dec/2014:07:04:38 +0400] "POST /login/login HTTP/1.0" 200 15190 "http://xxx.com/login" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
    5.254.151.57 - - [18/Dec/2014:07:04:39 +0400] "GET /forums/16/ HTTP/1.0" 200 30243 "http://xxx.com/forums/16/" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
    5.254.151.57 - - [18/Dec/2014:07:04:39 +0400] "POST /login/login HTTP/1.0" 200 15191 "http://xxx.com/login/" "Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0" "-"
    Чередуются одинаковые запросы. Айпи польский и шведский (название провайдера: Anonine VPN). Через какое-то время приводит к зависанию сервера. Что в настройках подкрутить?

    Так боты сервер не вешают, но создают дополнительную лишнюю нагрузку, что сказывается на производительности сайта. Вручную начинаешь добавлять в файервол, через какое-то время появляются новые. Я думаю может их скриптом проверять, допустим, если за день айпи запрашивает одну и ту же страницу более 200 раз, то банить его или добавлять в специальный список, тогда проверять вручную и банить подозрительные.

    А кто как решает эту проблему?
     
    18 дек 2014

Поделиться этой страницей