Ataque de 29Mpps, Layer7 (HTTP GET e POST) - Como reagir?

[Visitante]

Olá pessoal,

 

Hoje um de meus servidores foi alvo de um ataque fortissimo (Fortissimo, 29Mpps - 29 milhões de pacotes por segundo, sim, isso mesmo!)

 

O servidor alvo opera com as seguintes configurações de hardware:

 

- 32 GB RAM DDR3 ECC

- Intel Xeon E5 1660v2

- 4x 480GB SSD + RAID10

- CloudLinux (+grsecurity e kernel hardened para alto load TCP/Jumboframe)

- Servidor Web rodando com Nginx como front-end, apache como back-end.) 

- PHP 5.4 (rodando com Handler FastCGI + MPM Prefork, etc...)

 

A questão é, o servidor está configurado corretamente, como otimizar o mesmo para suportar tantas requisições Layer7? 

 

Caso alguém sugerir algum tipo de cache ou otimização apache, estamos aí.

 

Obs: O servidor nginx cai após alguns segundos (mesmo trabalhando com 4 workers e limite de 4096 conexões por worker)

 

Obs: Estou trabalhando em conjunto com a BlackLotus para mitigar o ataque.

[LucasRibeiro]

é servidor de jogo?

tem firewall físico?

[Visitante]

-- Update

 

Não é servidor de jogo, conforme citado, é um servidor web normal =)

 

@LucasRibeiro

 

Sim, ÓBVIO. Nós temos colocation com a BlackLotus, nosso servidor está lá.

[Visitante]

-- Update

 

Obs: O problema não é com os ataques DDoS, e sim com a otimização do apache para suportar os visitantes.

[rubensk]

-- Update

 

Obs: O problema não é com os ataques DDoS, e sim com a otimização do apache para suportar os visitantes.

 

"O ataque dos visitantes assassinos"  B)

[Visitante]

"O ataque dos visitantes assassinos"  B)

 

Tipo isso... A BlackLotus fez um esquema de CAPTCHA pra barrar os ataques, e depois simplesmente me disseram que agora o apache deve ser bem configurado pra suportar as requisições (Continuo recebendo flood HTTP GET), a única solução que consegui temporariamente foi inserir tudo em CDN.

[rubensk]

Tipo isso... A BlackLotus fez um esquema de CAPTCHA pra barrar os ataques, e depois simplesmente me disseram que agora o apache deve ser bem configurado pra suportar as requisições (Continuo recebendo flood HTTP GET), a única solução que consegui temporariamente foi inserir tudo em CDN.

 

Mas se isso resolveu tem mais cara de ataque do que requisições legítimas. Se você já não colocou no Cloudflare quando disse que colocou numa CDN, pode ser uma tentativa... 

[Visitante]

Mas se isso resolveu tem mais cara de ataque do que requisições legítimas. Se você já não colocou no Cloudflare quando disse que colocou numa CDN, pode ser uma tentativa... 

 

Eis a questão, é um ataque, porém, aparenta ser de uma grande botnet, com requisições HTTP GET (L7), nisso mesmo com CDN acaba usufruindo todos os recursos do servidor, pois o pacote é legítimo... 

 

Já tentamos otimizar o servidor, e mesmo assim não adiantou por muito tempo, e observe que o servidor é parrudo e consegue lidar com muito tráfego. Nesse momento estamos utilizando Nginx como front-end, apache como back-end (estamos usando MPM Prefork, fastcgi e mod_qos para fazer o QoS, na tentativa de manter o servidor estável, mas após um tempo ou o apache, ou o nginx cai).

[Visitante]

Já tentou colocar o Varnish como front end? Ele tem uma proteção nativa p/ alguns tipos de ataques.

[rubensk]

Eis a questão, é um ataque, porém, aparenta ser de uma grande botnet, com requisições HTTP GET (L7), nisso mesmo com CDN acaba usufruindo todos os recursos do servidor, pois o pacote é legítimo... 

 

Já tentamos otimizar o servidor, e mesmo assim não adiantou por muito tempo, e observe que o servidor é parrudo e consegue lidar com muito tráfego. Nesse momento estamos utilizando Nginx como front-end, apache como back-end (estamos usando MPM Prefork, fastcgi e mod_qos para fazer o QoS, na tentativa de manter o servidor estável, mas após um tempo ou o apache, ou o nginx cai).

 

Mas qual CDN você colocou ? A Cloudflare normalmente amorteceria bem esse tipo de problema..