Jump to content

Como Impedir Esse Tipo De Ataque?


Alexandre B
 Share

Recommended Posts

Olá Amigos,

 

Bom vou direto ao ponto, estou com problemas em um servidor meu, toda noite um cliente meu começa receber requisições (verifico isso via "Apache Status - WHM/cPanel") o problema não são as requisições, o problema é a quantidade, e os IP's sinistros que aparecem (China,Brazil,India,Cazaquistão) enfim, de tudo quanto é pais, e em grande quantidade, isso está criando um gargalo no apache seguido de load alto no servidor... observem um pedaço das requisições que aparecem no "Apache Status":

 

 

Current Time: Friday, 08-Mar-2013 01:13:05 BRT
Restart Time: Friday, 08-Mar-2013 00:44:52 BRT
Parent Server Generation: 0
Server uptime: 28 minutes 13 seconds
Total accesses: 992581 - Total Traffic: 400.4 MB
CPU Usage: u148.32 s75.21 cu193.02 cs0 - 34.6% CPU load
380 requests/sec - 580.1 kB/second - 600 B/request
500 requests currently being processed, 31 idle workers
 
 
Srv    PID    Acc    M    CPU    SS    Req    Conn    Child    Slot    Client    VHost    Request
0-0    10892    0/739/4065    _    0.62    0    1    0.0    0.17    12.53    203.70.194.123    SITEDOCLIENTE.COM    GET / HTTP/1.0
1-0    9273    1/869/4174    C    0.76    0    1    0.2    0.20    1.09    219.154.46.138    SITEDOCLIENTE.COM    GET / HTTP/1.1
2-0    3400    1/1406/4078    C    1.41    0    0    0.2    0.34    1.05    188.120.11.44    SITEDOCLIENTE.COM    GET / HTTP/1.1
3-0    18900    0/148/4050    _    0.13    0    1    0.0    0.03    2.19    202.90.149.6    SITEDOCLIENTE.COM    GET / HTTP/1.1
4-0    18590    1/1906/4058    C    1.68    0    1    0.2    0.43    0.99    187.0.222.167    SITEDOCLIENTE.COM    GET / HTTP/1.1
 
Aqui estou mostrando 4 entradas... é só para verem como são as entradas... existe nesse momento 400 linhas ai mostrando a mesma coisa... idênticas a essas 4 ai, porém cada linha com um IP....
 
como bloqueio isso? tem como?
 
eu confesso que tentei CSF, tirei e depois tentei APF... bom pode ser também alguma burrice minha na hora da configuração do CSF ou do APF... mas só consigo tirar o gargalo do apache e abaixar o load, suspendendo a conta desse cliente... esse cliente em média recebe 1.000 visitas mês, se fosse por quantidade de visitantes eu teria indicado já um dedicado... mas pelo fato dos ip's serem distintos de outros países, percebe-se que não são "visitantes".
 
Alguém já passou por isso? ou algo parecido?
 
Abraços...
Link to comment
Share on other sites

No CSF você configurou o CT_LIMIT ?

 

O problema é que configurando esse parametro, talvez possa arrumar outros problemas como é informado na própria descrição:

 

# Connection Tracking. This option enables tracking of all connections from IP

# addresses to the server. If the total number of connections is greater than

# this value then the offending IP address is blocked. This can be used to help

# prevent some types of DOS attack.

#

# Care should be taken with this option. It's entirely possible that you will

# see false-positives. Some protocols can be connection hungry, e.g. FTP, IMAPD

# and HTTP so it could be quite easy to trigger, especially with a lot of

# closed connections in TIME_WAIT. However, for a server that is prone to DOS

# attacks this may be very useful. A reasonable setting for this option might

# be around 300.

Link to comment
Share on other sites

Olá Amigo,

 

Quando roda no ssh o comando: netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

 

tem ip com muitas conexões?

 

Olá Amigo, o comando listou muitos ip's... porém existe muitos ip's que tem mais de 215 conexões... lembrando que o CSF está ligado (re-instalei de novo), e a variável CT_LIMIT está em 85

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...