OVH Community, your new community space.

Dziwny "DDoS"


Joshua
05-07-2012, 09:07
Cytat Napisał Widmo
przegladarka z tylu adresów IP?
sprawdź na wszelki wypadek reva kulkunastu sztuk

a ja bym odpalił na serwerze limitipconn (jakos tak) jako modul apache,
i ograniczył po 3/4 requesty / ip
Większość nie miała nawet revdns, dopiero whois pokazał że to jakieś Szwecje, Niemcy, Holandia itp. - wszystko daleko spoza kręgu potencjalnych klientów
Limit połączeń per IP niewiele by dał - większość IPków odpalało po kilka requestów i to wszystko. Prędzej odczuliby to prawdziwi klienci, chodzący po stronie.

Nic to, pozostaje liczyć że niewiadomy konkurent naszego klienta zrazi się do zabaw w zamawianie DDoSów po tej średnio udanej akcji...

Widmo
04-07-2012, 21:43
przegladarka z tylu adresów IP?
sprawdź na wszelki wypadek reva kulkunastu sztuk

a ja bym odpalił na serwerze limitipconn (jakos tak) jako modul apache,
i ograniczył po 3/4 requesty / ip

Joshua
04-07-2012, 15:37
Witam,

U jednego z klientów doświadczyłem dzisiaj czegoś co wyglądało na DDoS.
Najpierw nie wiedziałem co się dzieje bo load skoczył wysoko, potem zobaczyłem wyjątkowo duży ruch na stronie (maleńkie biuro podróży - nie, nie to co padło
Sprawdziłem połączenia i okazało się, że jest bardzo dużo requestów HTTP z masy różnych IP, przy czym w niektórych podsieciach /24 były requesty z kilkudziesięciu podadresów. Ewidentny atak, bo:
- firma lokalna, strona po Polsku, nikt z zagranicy nie ma tu czego szukać
- requesty trafiały w istniejące adresy, udawały przeglądarkę ale już nie pobierały nic więcej poza samą stroną (pewnie nie ciągnęły nawet odpowiedzi serwera)
- nawet po zablokowaniu widzę na iptables spory ruch z zablokowanych adresów

Tak na szybko poblokowałem podsieci które generowały największy ruch z największej ilości adresów (niektóre się pokrywają, wiem):

193.183.187.0/24
46.59.0.0/16
80.248.0.0/16
93.158.88.0/24
46.59.94.0/24
80.248.234.0/24
193.234.222.0/24
141.138.214.0/24
193.182.112.0/24
83.140.221.0/24
83.140.95.0/24
83.140.113.0/24
80.248.228.0/24
141.138.215.0/24
193.182.189.0/24
193.180.166.0/24
141.138.208.0/24
83.140.113.0/24
83.140.95.0/24
83.140.221.0/24

Jakieś to dziwne jak na DDoS, bo zbyt łatwe do wycięcia (po wycięciu w/w strona wróciła do życia). Czy to możliwe, że stronę próbowała zaindeksować jakaś dziwaczna wyszukiwarka? Klient nie bardzo widzi by ktoś mógł go próbować w ten sposób załatwić...

Co sądzicie?