Ir para conteúdo
  • Cadastre-se

Ataque Dos/DDoS vs CloudFlare

Fernando Rafs

Por Fernando Rafs
em Segurança

 Compartilhar

Posts Recomendados

Fernando Rafs

Fernando Rafs

Postado
Postado

Pessoal,

 

Hoje por volta dás 02:00hs AM o load de um dos meus servidores começou a subir abrupitamente, de 1~2 para 100~120 e ao verificar notei que existia um domínio de cliente sofrendo DoS/DDos com mais de 7.000 conexões, não se tratando de uma inundação de acesso normal para este cliente.

 

Ao verificar os IPs todos eram do CloudFlare, foi então que constatei que o cliente utiliza o CloudFlare em sua configuração DNS junto ao Registro BR.

 

Contatei a Limestone para aplicação de um 'Filtering of Harmful Traffic' mas com ele ativo ou não era a mesma coisa, não funcionou para nada e o atendimento neste caso da Limestone foi totalmente amador.

 

Consegui contornar paleativamente o problema bloqueando todas as faixas do CloudFlare no Firewall, e agora o servidor está normal sem qualquer problema, mas se removo os IPs do bloqueio as conexões para o domínio do cliente voltam novamente, subindo de 500 conexões em todo o servidor para 7.000 e alguns picos de 10.000~18.000 conexões e todos, como dito, IPs da CloudFlare.

 

Temporariamente apliquei um IP dedicado a conta do cliente e desliguei da rede pública para ele junto a Limestone, não resolveu muita coisa mas ajudou, já que as conexões caso eu libere os IPs da CloudFlare ainda chegam ao IP primário do servidor, poucas ao dedicado.

 

Então em resumo, atualmente estou com todos as faixas CloudFlare bloqueadas no Firewall + IP do cliente com a rede pública desligada, o que resolveu paleativamente.

 

Alguém que já passou por isto com domínio utilizando a CloudFlare, sabe fornecer alguma informação ou ajuda a respeito? Já se eu liberar os IPs o problema retornará e não posso deixar o cliente Offline indefinidamente.

 

Valeu

Link para o comentário
Compartilhar em outros sites
Fernando Rafs

Fernando Rafs

Postado
  • Autor
Postado

O lugar para filtrar isso é no Cloudflare, precisa olhar o padrão das requisições e colocar algum drop lá, aí o ataque já não chega até você. 

 

Primeiramente obrigado pela ajuda!

 

Como nunca utilizei a CloudFlare, até mesmo nos planos gratuitos é possível verificar estas requisições para efetuar o Drop? Se sim é direto via painel de controle ou é necessário acionar o suporte deles? Desculpe a pergunta é porque realmente não sei o funcionamento do sistema/painel deles.

Link para o comentário
Compartilhar em outros sites
Fernando Rafs

Fernando Rafs

Postado
  • Autor
Postado

Guto, o que poderia lhe ajudar era alterar o perfil da conta do seu cliente no cloudflare para "i´m under attack!"

 

Isso vai ajudar e muito.

 

Estou aguardando o retorno do cliente, perguntei a ele se é possível fornecer acesso a conta dele junto a CloudFlare, é o único modo já que dificilmente ele saberá verificar.

Link para o comentário
Compartilhar em outros sites
rubensk

rubensk

Postado
Postado

Primeiramente obrigado pela ajuda!

 

Como nunca utilizei a CloudFlare, até mesmo nos planos gratuitos é possível verificar estas requisições para efetuar o Drop? Se sim é direto via painel de controle ou é necessário acionar o suporte deles? Desculpe a pergunta é porque realmente não sei o funcionamento do sistema/painel deles.

 

Fora o que o pessoal já comentou (o cliente ligar o "I'm under attack"), você mesmo pode verificar nos seus logs de HTTP qual o padrão de requisições para já ter algo para filtrar, tipo "requests para /fgg.html?fff=122)". 

Pode ser que nos gratuitos a granularidade de filtro não permita, mas o mínimo que o cliente pode fazer é assinar o serviço que precise para mitigar o ataque enquanto isso. CF é mensal, você muda de plano quando quiser, inclusive de volta para o gratuito. 

1
Link para o comentário
Compartilhar em outros sites
Fernando Rafs

Fernando Rafs

Postado
  • Autor
Postado

Fora o que o pessoal já comentou (o cliente ligar o "I'm under attack"), você mesmo pode verificar nos seus logs de HTTP qual o padrão de requisições para já ter algo para filtrar, tipo "requests para /fgg.html?fff=122)". 

Pode ser que nos gratuitos a granularidade de filtro não permita, mas o mínimo que o cliente pode fazer é assinar o serviço que precise para mitigar o ataque enquanto isso. CF é mensal, você muda de plano quando quiser, inclusive de volta para o gratuito. 

 

Já consultei o log e verifiquei o padrão, estou aguardando agora apenas o cliente me retornar para dar continuidade junto ao CloudFlare. Todas as conexões são apenas para uma única postagem Wordpress que o usuário possui!

 

Obrigado a todos! Assim que tiver algum retorno dou um feedback.

Link para o comentário
Compartilhar em outros sites
rubensk

rubensk

Postado
Postado

Já consultei o log e verifiquei o padrão, estou aguardando agora apenas o cliente me retornar para dar continuidade junto ao CloudFlare. Todas as conexões são apenas para uma única postagem Wordpress que o usuário possui!

 

Mas sobre os planos é aquele negócio, será que ele vai querer pagar? Porque falou em pagar a maioria dos clientes não quer nem saber, acham que a empresa é a responsável por tudo.

 

Obrigado a todos! Assim que tiver algum retorno dou um feedback.

 

Eu acho que é razoável o cliente tentar primeiro esgotar os modos gratuitos. Pode ser que só o Javascript do CloudFlare que ele coloca com o "I'm under Attack" seja suficiente. Agora, em não sendo... 

1
Link para o comentário
Compartilhar em outros sites
Fernando Rafs

Fernando Rafs

Postado
  • Autor
Postado

Eu acho que é razoável o cliente tentar primeiro esgotar os modos gratuitos. Pode ser que só o Javascript do CloudFlare que ele coloca com o "I'm under Attack" seja suficiente. Agora, em não sendo... 

 

Verifiquei o padrão e agora não sei se realmente é um ataque ou se trata apenas de uma inundação de conexões.

 

Todas as conexões vão para um único post do Wordpress e se trata de Pingback.

 

Exemplo:

 

----

IP CLOUDFLARE - - [29/Aug/2014:04:07:09 -0300] "GET /POSTDOCLIENTE / HTTP/1.0" 302 241 "-" "WordPress/3.9.2; http:// proactivo.com.pe; verifying pingback from 185.43.210.77"

----

 

Até agora já verifiquei mais de 30.000 mil conexões com o mesmo padrão, e ainda existem mais, não concluí ainda a contagem. Tudo das 02:00hs até às 04:10 aproximadamente (horário em que efetuei o bloqueio da CloudFlare)

 

Nota: / HTTP/1.0" 302 -> devido ao CloudLinux estar limitando a conta do cliente e algumas configs do Nginx.

Link para o comentário
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept