Jump to content

Ataque de 29Mpps, Layer7 (HTTP GET e POST) - Como reagir?


Guest

Recommended Posts

Olá pessoal,

 

Hoje um de meus servidores foi alvo de um ataque fortissimo (Fortissimo, 29Mpps - 29 milhões de pacotes por segundo, sim, isso mesmo!)

 

O servidor alvo opera com as seguintes configurações de hardware:

 

- 32 GB RAM DDR3 ECC

- Intel Xeon E5 1660v2

- 4x 480GB SSD + RAID10

- CloudLinux (+grsecurity e kernel hardened para alto load TCP/Jumboframe)

- Servidor Web rodando com Nginx como front-end, apache como back-end.) 

- PHP 5.4 (rodando com Handler FastCGI + MPM Prefork, etc...)

 

A questão é, o servidor está configurado corretamente, como otimizar o mesmo para suportar tantas requisições Layer7? 

 

Caso alguém sugerir algum tipo de cache ou otimização apache, estamos aí.

 

Obs: O servidor nginx cai após alguns segundos (mesmo trabalhando com 4 workers e limite de 4096 conexões por worker)

 

Obs: Estou trabalhando em conjunto com a BlackLotus para mitigar o ataque.

Link to comment
Share on other sites

"O ataque dos visitantes assassinos"  B)

 

Tipo isso... A BlackLotus fez um esquema de CAPTCHA pra barrar os ataques, e depois simplesmente me disseram que agora o apache deve ser bem configurado pra suportar as requisições (Continuo recebendo flood HTTP GET), a única solução que consegui temporariamente foi inserir tudo em CDN.

Link to comment
Share on other sites

Tipo isso... A BlackLotus fez um esquema de CAPTCHA pra barrar os ataques, e depois simplesmente me disseram que agora o apache deve ser bem configurado pra suportar as requisições (Continuo recebendo flood HTTP GET), a única solução que consegui temporariamente foi inserir tudo em CDN.

 

Mas se isso resolveu tem mais cara de ataque do que requisições legítimas. Se você já não colocou no Cloudflare quando disse que colocou numa CDN, pode ser uma tentativa... 

Link to comment
Share on other sites

Mas se isso resolveu tem mais cara de ataque do que requisições legítimas. Se você já não colocou no Cloudflare quando disse que colocou numa CDN, pode ser uma tentativa... 

 

Eis a questão, é um ataque, porém, aparenta ser de uma grande botnet, com requisições HTTP GET (L7), nisso mesmo com CDN acaba usufruindo todos os recursos do servidor, pois o pacote é legítimo... 

 

Já tentamos otimizar o servidor, e mesmo assim não adiantou por muito tempo, e observe que o servidor é parrudo e consegue lidar com muito tráfego. Nesse momento estamos utilizando Nginx como front-end, apache como back-end (estamos usando MPM Prefork, fastcgi e mod_qos para fazer o QoS, na tentativa de manter o servidor estável, mas após um tempo ou o apache, ou o nginx cai).

Link to comment
Share on other sites

Eis a questão, é um ataque, porém, aparenta ser de uma grande botnet, com requisições HTTP GET (L7), nisso mesmo com CDN acaba usufruindo todos os recursos do servidor, pois o pacote é legítimo... 

 

Já tentamos otimizar o servidor, e mesmo assim não adiantou por muito tempo, e observe que o servidor é parrudo e consegue lidar com muito tráfego. Nesse momento estamos utilizando Nginx como front-end, apache como back-end (estamos usando MPM Prefork, fastcgi e mod_qos para fazer o QoS, na tentativa de manter o servidor estável, mas após um tempo ou o apache, ou o nginx cai).

 

Mas qual CDN você colocou ? A Cloudflare normalmente amorteceria bem esse tipo de problema.. 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?