Ir para conteúdo
  • Cadastre-se

Ataque Dos/DDoS vs CloudFlare

Fernando Rafs

Por Fernando Rafs
em Segurança

 Compartilhar

Posts Recomendados

Fernando Rafs

Fernando Rafs

Postado
  • Autor
Postado

Esse IP 185.x é da ArubaCloud da Grã-Bretanha... o IP é sempre esse ? 

 

95% dos IPs sim, altera apenas o domínio, exemplo

 

O que forneci no Post acima:

 

---

IP CLOUDFLARE - - [29/Aug/2014:04:07:09 -0300] "GET /POSTDOCLIENTE / HTTP/1.0" 302 241 "-" "WordPress/3.9.2; http:// proactivo.com.pe; verifying pingback from 185.43.210.77"

---

 

Outro:

 

---

IP CLOUDFLARE - - [29/Aug/2014:04:07:18 -0300] "GET /POSTDOCLIENTE / HTTP/1.0" 302 241 "-" "WordPress/3.9.2; http:// shaanra.com; verifying pingback from 185.43.210.77"

---

 

O mesmo IP 185.X e domínios diferentes (proactivo e shaanra)

 

Isto se repete por milhares e milhares de conexões, alterando apenas o domínio.

Link para o comentário
Compartilhar em outros sites
rubensk

rubensk

Postado
Postado

95% dos IPs sim, altera apenas o domínio, exemplo

 

O que forneci no Post acima:

 

---

IP CLOUDFLARE - - [29/Aug/2014:04:07:09 -0300] "GET /POSTDOCLIENTE / HTTP/1.0" 302 241 "-" "WordPress/3.9.2; http:// proactivo.com.pe; verifying pingback from 185.43.210.77"

---

 

Outro:

 

---

IP CLOUDFLARE - - [29/Aug/2014:04:07:18 -0300] "GET /POSTDOCLIENTE / HTTP/1.0" 302 241 "-" "WordPress/3.9.2; http:// shaanra.com; verifying pingback from 185.43.210.77"

---

 

O mesmo IP 185.X e domínios diferentes (proactivo e shaanra)

 

Isto se repete por milhares e milhares de conexões, alterando apenas o domínio.

 

Então está claro que esse IP é um dos que está sendo usado para o ataque e esses domínios são fake. Você deveria habilitar seu sistema a reconhecer o Cloudflare como trusted proxy para considerar o IP de origem da requisição como o IP de origem que o Cloudflare manda, e aí bloquear esse IP (ao invés do Cloudflare todo).

1
Link para o comentário
Compartilhar em outros sites
Fernando Rafs

Fernando Rafs

Postado
  • Autor
Postado

Então está claro que esse IP é um dos que está sendo usado para o ataque e esses domínios são fake. Você deveria habilitar seu sistema a reconhecer o Cloudflare como trusted proxy para considerar o IP de origem da requisição como o IP de origem que o Cloudflare manda, e aí bloquear esse IP (ao invés do Cloudflare todo).

 

Estava neste momento verificando no site da CloudFlare como fazer isto. Vou ver como se efetua a instalação/configuração.

Link para o comentário
Compartilhar em outros sites
Fernando Rafs

Fernando Rafs

Postado
  • Autor
Postado

O problema foi totalmente resolvido! Acesso normalizado ao domínio do cliente.

 

Os IPs/Ranges do ataque foram bloqueados no Servidor e no Datacenter (+ alguns ajustes) e configurações ajustadas na CloudFlare incluindo o "I'm under attack".

 

O tráfego que está entrando agora é totalmente legítimo.

 

Agradeço a todos que ajudaram e deram dicas valiosas.

Link para o comentário
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept