הוסטס - פורום אחסון האתרים הגדול בישראל - למישהו יש המצלמה למוד נגד התקפות HTTP?

- תחזוק שרתים ושירותי רשת נוספים (https://hosts.co.il/forums/forumdisplay.php?f=29)

- - למישהו יש המצלמה למוד נגד התקפות HTTP? (https://hosts.co.il/forums/showthread.php?t=78412)

למישהו יש המצלמה למוד נגד התקפות HTTP?

אני עובד עם אפאצ'י 1.3, יש לי APF מותקן ורץ.

לדעתי הAPF מקונפג טוב, אבל עדיין ילדודס מעלים את ה LOAD בשרת ומעמיסים על האפאצ'י והAPF לא חוסם אותם, מגיע למצבים שIP מגיע ל 100K requests, וכמובן שתמיד יש לי 10-20 כאלו בו זמנית ולשרת אין סיכוי, מיותר להוסיף שאני לא מעוניין לחסום אותם ידנית.

אני אשמח להמלצות לטיפול בתופעה, תודה רבה מראש.

ד"א רץ על השרת פורום ככה שאני צריך להזהר לא לחסום משתמשים שסתם מנסים לגלוש.

אין מוד קסמים...נקודה.

תבדוק באילו התקפות (סוג) מדובר ותחזור עם תשובות...בנוסף, תדביק פה את הגדרות האפצ'י שלך.

אגב, מאחר ואני כבר לא מחכה לטלפון ממך, מעניין אותי, גיא מהוסטריק עדיין מתחזק לך את השרת?

הוא סה"כ עזר לי בקנפוג כמה דברים בשרת ואנחנו חברים, לא יותר מזה, מה הוא קשור בכלל?

סוג התקפות? ילדים מסכנים שמריצים איזה סקריפט שטוחן GETים לעמוד מסויים באתר.

MinSpareServers 10
MaxSpareServers 15
StartServers 15
MaxClients 1256
MaxRequestsPerChild 1000

דווקא כן יש MOD קסמים,
בהנחה שמדובר ביותר מ-REQUEST אחד ל-IP.
כאן תוכל לקרוא לגביו.
דוגמא חיה מהצפה היום בצהריים[לפני המוד - load avarage 5.5, אחרי - 0.5]

קוד:

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

רעיון נוסף, או אפילו שילוב של השניים, הוא זה, אתה פשוט מגביל את ה-REQUEST פר IP ל-X ב-Y זמן, במידה ו-IP מסויים "עבר" על החוק, הוא נחסם מהפורט.

בעיקרון, עדיף להשתמש ב-IPTABLES מאשר במודים כלשהם ל-apache/lighttpd.

תודה רבה, אני מכיר את mod_evasive אבל הדעות עליו חלוקות, יכולה להיות בעיה להריץ את המוד במקביל לAPF? יש לך אולי קונפיגורציה מומלצת?

תודה רבה מראש.

APF הוא סקריפט של IPTABLES - עובד מול ה-KERNEL.
EVASIVE הוא פלאגאין של Apache/Lighttpd - עובד מול התוכנה עצמה.

אין שום קשר בינהם.
לגבי קנפיגורציות, תלוי באתר, בסוג שלו, כמה תמונות יש בדף בממוצע וכו' וכו'.

אין התנגשות בין APF לאבייסיב...

אה ואבי, לפי דעתי, אבייסיב הוא לא מוד קסם...שוב, אולי זו רק דעתי.

אור, שלחתי לך ה"פ עם כמה הצעות.

על טעם ועל ריח.

המוד בגדול דיי מיותר מאחר ואפשר לחסוך את ה-PLUGIN ואת הזיכרון וה-CPU שהוא משתמש[שאומנם, לא מדובר בהרבה, אבל תכפיל פרוסס אחד ב-850 גולשים ברגע נתון ומדובר בחיסכון משמעותי].

הבעיה עם mod_evasive היא לא טעם וריח,
הבעיה היא false positive גבוהה במיוחד.

כפי שנאמר כאן, אין פתרון קסם - עם קצת ידע בbash ניתן לכתוב סקריפט שיטפל באופן יפה בנושא מול iptables.

אגב,
כמה זכרון יש לך בשרת?
יש לאן לקדם (מאוד) את הקונפיגורציה שלך, אפילו את הערכים הבסיסים שהצגת כאן.

יש לי 6 ג'יגה זיכרון, 2 מעבדי קאווד קור.

אז תרגיש חופשי ל..

MinSpareServers 40
MaxSpareServers 50
StartServers 200
MaxRequestsPerChild 5000

שיניתי, תודה רבה :)
ד"א, ההגדרות אמורות להשפיע על מהירות העליה של כל דף?
אתה ממליץ לי להשתמש במודול המדובר לאפאצ'י?

ההגדרות לא ישפיעו על מהירות העליה של הדפים,
הם פשוט יאפשרו התמודדות מעט יותר טובה עם ההתקפות.

סה"כ מה ששונה הוא ההגדרה של מס' הפרוססים איתו הapache מתחיל לרוץ,
וכמה פרוססים "אקסטרה" הוא ישמור בכל זמן נתון.

כפי שרשמתי קודם.. לטעמי, הfalse positive של המודול גדול מידי מה שאומר שייתכן והוא יחסום את ההתקפות,
אבל הוא יחסום גם לא מעט גולשים לגיטימיים ולכן אני לא ממליץ את השימוש בו.

יש כמה שיטות להתמודד, כמו שאמרתי לך במסנג'ר כבר לפני שפתחת את האשכול.

השיטה המגעילה , לעקוב אחרי LOAD ולעשות ריסטרט לאפאצי כשהLOAD עולה... ( לא מומלצת ).
והשיטה הנקייה, לעקוב אחרי מספר חיבורי ה TCP במצב SYN וברגע שערך עולה על כמות מסויימת , לדחוף שורה לפירוואל שיחסום את האיפי התוקף.
אני יוצא מנקודת הנחה שמדובר באיפיים דינאמים ,אז הייתי ממליץ להוסיף "GRACE TIME " לחסימות , ככה שלא יצא שתחסום אנשים תמימים שאחרי שבוע ימשכו איפי של מישהו שתוקף.

לגבי השיטה המגעילה
דחוף את זה בקרון
אל תקח את ה 20 בתור המלצה למצב שאפשר לסבול , זה סתם סקריפט לדוגמא , שאני לא ממליץ להשתמש בו בכלל, אבל זו אופציה בינתיים לפחות עד שתגבש פתרון הולם לבעיה שלך.

קוד:

#!/bin/bash

# this script was built to deal with stupid httpd floods in the most easy and ugly workaround ever

# not recommended for production servers!

loadavg=`uptime | awk '{print $10}'`

RESTART="/etc/init.d/httpd restart"

thisloadavg=`echo $loadavg|awk -F \. '{print $1}'`

if [ "$thisloadavg" -ge "20" ]; then

$RESTART

elif [ "$thisloadavg" -le "4" ]; then

pgrep httpd

if [ $? -ne 0 ]

then

$RESTART

fi

fi

לגבי השיטה הנחמדה יותר... זה צריך להבנות מול השרת שלך בהתאמה לפירוואל.

אם יש לך תקציב - http://www.youtube.com/watch?v=wr-wPXOOinA

אבל השיטה הכי הכי טובה זה לקחת את האיפי של התוקף ( ישראלי כן? ) , טלפון קצר לספקית שלו , מכתב אזהרה , ותישן רגוע.

( או שתשדרג את החומרה שלך לשרת כמו שהראתי לך מקודם ;-) ואז לא יהיה לך איכפת מנסיונות כושלים שכאלה )

תקלוט לא נמאס להם
613
218.163.16.167
root@emily [~]#

יש המון דרכים להתמודד עם זה, אחד מהן היא פיירוואל שיתופי שבדר"כ אמור לתת מענה לבעיות כאלה.
פיתרון אחר הוא סקריפט ברמת המערכת שבודק בעזרת netstat חיבורים לשרת מכל כתובת IP, לא משנה לאיזה service הוא מכוון, וסופר אותן וברגע שהכתובת עוברת מספר מוגדר של חיבורים SYN או לא זה לא משנה, היא תחסום
יש פה משהו לדוגמא, לא יודע כמה הוא יעיל אבל שווה לנסות
http://www.webhostingtalk.com/showthread.php?t=464364
בכ"א דבר איתי, אני זמין
חג שמח ושנה טובה
אלעד