Ir para conteúdo
  • Cadastre-se

Ataque de 29Mpps, Layer7 (HTTP GET e POST) - Como reagir?


Visitante

Posts Recomendados

basta aumentar a RAM.

e uma dica:

Cuidado. pois não é sempre que se tem 29 Mpps de ataques contra o seu propio servidor.

algo de errado tem ai.

...

 

Vou fingir que não li isso, mas obrigado pela dica :)

Link para o comentário
Compartilhar em outros sites

Camaradas tive o mesmo problema... derrubaram diversas vezes o site de um cliente meu com o http flood, inseri apenas estas linhas no .htaccess na raiz do site e mitigaram os ataques.

 

--------------------------------------------------------------------------------------------------------------
 
os referers:
 
 
RewriteCond %{THE_REQUEST} \?(ref=.*)?\ HTTP [NC]
 
RewriteCond %{THE_REQUEST} \?(=.*)?\ HTTP [NC]
 
--------------------------------------------------------------------------------------
 
Mitigou no mesmo instante....
Link para o comentário
Compartilhar em outros sites

Olá pessoal,

 

Hoje um de meus servidores foi alvo de um ataque fortissimo (Fortissimo, 29Mpps - 29 milhões de pacotes por segundo, sim, isso mesmo!)

 

O servidor alvo opera com as seguintes configurações de hardware:

 

- 32 GB RAM DDR3 ECC

- Intel Xeon E5 1660v2

- 4x 480GB SSD + RAID10

- CloudLinux (+grsecurity e kernel hardened para alto load TCP/Jumboframe)

- Servidor Web rodando com Nginx como front-end, apache como back-end.) 

- PHP 5.4 (rodando com Handler FastCGI + MPM Prefork, etc...)

 

A questão é, o servidor está configurado corretamente, como otimizar o mesmo para suportar tantas requisições Layer7? 

 

Caso alguém sugerir algum tipo de cache ou otimização apache, estamos aí.

 

Obs: O servidor nginx cai após alguns segundos (mesmo trabalhando com 4 workers e limite de 4096 conexões por worker)

 

Obs: Estou trabalhando em conjunto com a BlackLotus para mitigar o ataque.

 

Erick, recebi muito ataque em Layer 7 nos últimos meses e, consegui uma forma de se proteger. Hoje, não caio mais.

Me adiciona no Skype, podemos bater um papo sobre isso :D

Skype: virtushostoficial

Link para o comentário
Compartilhar em outros sites

Erick, estranho nginx não segurar, você esta usando ele como proxy reverso? ou está fazendo cache também?

 

as paginas requisitadas são legitimas? é possível fazer cache delas? 

 

Bruno, de qualquer forma, o nginx em si não é capaz de fazer milagres... Estamos falando de 29M pps, que no caso, são duas portas 10GigE inteira de ataques.

 

O problema foi resolvido após ter sido provisionado um CDN com Proxy reverso.

Link para o comentário
Compartilhar em outros sites

Erik quando disse em segurar não disse apenas o nginx em si! achei estranho ele logo cair, se o nginx estiver configurado de forma correta, e as paginas forem 100% cacheaveis ele conseguirá segurar uma boa pancada, esta usando staminus, chegaram a filtrar algo? que mal lhe pergunte, qual o site que está recebendo este volume de ataque, e como estão fazendo? get? post? qual cdn conseguiu filtrar isso para você? 

Link para o comentário
Compartilhar em outros sites

Erik quando disse em segurar não disse apenas o nginx em si! achei estranho ele logo cair, se o nginx estiver configurado de forma correta, e as paginas forem 100% cacheaveis ele conseguirá segurar uma boa pancada, esta usando staminus, chegaram a filtrar algo? que mal lhe pergunte, qual o site que está recebendo este volume de ataque, e como estão fazendo? get? post? qual cdn conseguiu filtrar isso para você? 

 

O nginx estava bem otimizado sim (tentamos inclusive com Varnish Cache configurado corretamente...).

 

Não utilizo Staminus. Possuo rede própria (AS264409). 

 

O site é de um cliente de game. O ataque é HTTP POST (semelhante ao XMLRPC/PingBack, mas sem ref...).

 

--

 

Nesse caso, coloquei na EdgeCast. Já hoje, utilizo nodes em 3 POPs (uma /24 anunciada em cada localidade).

Link para o comentário
Compartilhar em outros sites

Erick, recebi muito ataque em Layer 7 nos últimos meses e, consegui uma forma de se proteger. Hoje, não caio mais.

Me adiciona no Skype, podemos bater um papo sobre isso :D

Skype: virtushostoficial

 

A ideia de fórum é compartilhamento de informações, não respeito muito a atitude de querer contato por skype pra ajudar, parece que só quer vender algo  :(

 

Sobre o ataque, se é HTTP POST, CDN para o site não ajudaria?

Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?