Como Impedir Esse Tipo De Ataque?

[Alexandre B]

Olá Amigos,

 

Bom vou direto ao ponto, estou com problemas em um servidor meu, toda noite um cliente meu começa receber requisições (verifico isso via "Apache Status - WHM/cPanel") o problema não são as requisições, o problema é a quantidade, e os IP's sinistros que aparecem (China,Brazil,India,Cazaquistão) enfim, de tudo quanto é pais, e em grande quantidade, isso está criando um gargalo no apache seguido de load alto no servidor... observem um pedaço das requisições que aparecem no "Apache Status":

 

 

Current Time: Friday, 08-Mar-2013 01:13:05 BRT

Restart Time: Friday, 08-Mar-2013 00:44:52 BRT

Parent Server Generation: 0

Server uptime: 28 minutes 13 seconds

Total accesses: 992581 - Total Traffic: 400.4 MB

CPU Usage: u148.32 s75.21 cu193.02 cs0 - 34.6% CPU load

380 requests/sec - 580.1 kB/second - 600 B/request

500 requests currently being processed, 31 idle workers

 

 

Srv    PID    Acc    M    CPU    SS    Req    Conn    Child    Slot    Client    VHost    Request

0-0    10892    0/739/4065    _    0.62    0    1    0.0    0.17    12.53    203.70.194.123    SITEDOCLIENTE.COM    GET / HTTP/1.0

1-0    9273    1/869/4174    C    0.76    0    1    0.2    0.20    1.09    219.154.46.138    SITEDOCLIENTE.COM    GET / HTTP/1.1

2-0    3400    1/1406/4078    C    1.41    0    0    0.2    0.34    1.05    188.120.11.44    SITEDOCLIENTE.COM    GET / HTTP/1.1

3-0    18900    0/148/4050    _    0.13    0    1    0.0    0.03    2.19    202.90.149.6    SITEDOCLIENTE.COM    GET / HTTP/1.1

4-0    18590    1/1906/4058    C    1.68    0    1    0.2    0.43    0.99    187.0.222.167    SITEDOCLIENTE.COM    GET / HTTP/1.1

 

Aqui estou mostrando 4 entradas... é só para verem como são as entradas... existe nesse momento 400 linhas ai mostrando a mesma coisa... idênticas a essas 4 ai, porém cada linha com um IP....

 

como bloqueio isso? tem como?

 

eu confesso que tentei CSF, tirei e depois tentei APF... bom pode ser também alguma burrice minha na hora da configuração do CSF ou do APF... mas só consigo tirar o gargalo do apache e abaixar o load, suspendendo a conta desse cliente... esse cliente em média recebe 1.000 visitas mês, se fosse por quantidade de visitantes eu teria indicado já um dedicado... mas pelo fato dos ip's serem distintos de outros países, percebe-se que não são "visitantes".

 

Alguém já passou por isso? ou algo parecido?

 

Abraços...

[Jordan Miguel]

Impedir que as requests de outros países acessando este site sejam passadas ao apache.

[Jesmarcelo]

No CSF você configurou o CT_LIMIT ?

[chuvadenovembro]

No CSF você configurou o CT_LIMIT ?

 

O problema é que configurando esse parametro, talvez possa arrumar outros problemas como é informado na própria descrição:

 

# Connection Tracking. This option enables tracking of all connections from IP

# addresses to the server. If the total number of connections is greater than

# this value then the offending IP address is blocked. This can be used to help

# prevent some types of DOS attack.

#

# Care should be taken with this option. It's entirely possible that you will

# see false-positives. Some protocols can be connection hungry, e.g. FTP, IMAPD

# and HTTP so it could be quite easy to trigger, especially with a lot of

# closed connections in TIME_WAIT. However, for a server that is prone to DOS

# attacks this may be very useful. A reasonable setting for this option might

# be around 300.

[Alexandre B]

No CSF você configurou o CT_LIMIT ?

 

essa opção cheguei a colocar o valor 85....

porém eu via ip's com 200 conexões abertas e nada...

não sei se é algum bug ou outra coisa...

[LucasOliveira]

Olá Amigo,

 

Quando roda no ssh o comando: netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

 

tem ip com muitas conexões?

[Alexandre B]

Olá Amigo,

 

Quando roda no ssh o comando: netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

 

tem ip com muitas conexões?

 

Olá Amigo, o comando listou muitos ip's... porém existe muitos ip's que tem mais de 215 conexões... lembrando que o CSF está ligado (re-instalei de novo), e a variável CT_LIMIT está em 85

[LucasOliveira]

Alexandre

 

 

nas configurações do seu CSF na linha SYNFLOOD está ativo ou off?