Ddos como descobriram o ip ?

[asih3872gfuajs]

14 hours ago, lyra said:

O único problema que está tendo é sobrecarga de CPU e RAM, correto?

Imagino que aquela proteção captcha do CloudFlare seja suficiente para barrar esse flood de get.

Caso não seja, bloqueie esse HTTP_USER_AGENT no seu .htaccess (será retornado 403 forbidden, o consumo de recurso é mínimo).

Também é possível bloquear em nível de rede, no próprio iptables, mas é mais complexo e muito importante que saiba o que está fazendo, para não acabar bloqueando o que não deve.

O CloudFlare não é suficiente para barrar ataques Layer 7, vão passar, e aí vai parecer que "o próprio cloudflare tá te atacando" quando na verdade, ele só está passando as requisições.

O CloudFlare só vai barrar ataques Layer 7 tosquinhos, tipo os que só barrar o acesso de browser sem javascript resolve; agora, os ataques Layer 7 mais complexos, você vai penar muito mais para mitigar.

[lyra]

O CloudFlare não é suficiente para barrar ataques Layer 7, vão passar, e aí vai parecer que "o próprio cloudflare tá te atacando" quando na verdade, ele só está passando as requisições.
O CloudFlare só vai barrar ataques Layer 7 tosquinhos, tipo os que só barrar o acesso de browser sem javascript resolve; agora, os ataques Layer 7 mais complexos, você vai penar muito mais para mitigar.

Excepcionalmente neste caso, é um simples flood de get. Provavelmente estão utilizando um script bunda desenvolvido em perl.

O autor do tópico é root no servidor, correto?

Aplique:
iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string "Mozilla/5.0 (X11; U; Linux x86_64; de; rv:1.9.2.8)" -j DROP

Enviado de meu ONEPLUS A5000 usando Tapatalk

[asih3872gfuajs]

1 minute ago, lyra said:

Excepcionalmente neste caso, é um simples flood de get. Provavelmente estão utilizando um script bunda desenvolvido em perl.

O autor do tópico é root no servidor, correto?

Aplique:
iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string "Mozilla/5.0 (X11; U; Linux x86_64; de; rv:1.9.2.8)" -j DROP

Enviado de meu ONEPLUS A5000 usando Tapatalk
 

wtf, aí tu vai bloquear todo mundo acessando mozilla, e apenas mozilla. Isso significa que, os teus usuários reais usando Mozilla também vão ser bloqueados, e que se o atacante simplesmente mudar o web-agent, o ataque vai voltar a afetar.

Isso desconsiderando toda a questão de que dependendo da quantidade de requisições o iptables não vai segurar, e vai fritar o CPU do servidor.

[lyra]

wtf, aí tu vai bloquear todo mundo acessando mozilla, e apenas mozilla. Isso significa que, os teus usuários reais usando Mozilla também vão ser bloqueados, e que se o atacante simplesmente mudar o web-agent, o ataque vai voltar a afetar.
Isso desconsiderando toda a questão de que dependendo da quantidade de requisições o iptables não vai segurar, e vai fritar o CPU do servidor.

Visualizou toda a linha ou somente "Mozilla"?

Acesse um dos seus ambientes de revenda e busque por esse user-agent.
Ouso afirmar que você não vai encontrar nenhum registro.

Sugeri o bloqueio de somente uma compilação específica, não todas as versões.

[] 's

Enviado de meu ONEPLUS A5000 usando Tapatalk

[rodrigo286]

O Cloud Flare tem uma falha que da para ver o IP REAL, infelizmente já acharam como, e tem alguns sites que ensinam...

Para taques Layer 7 use:

http://vddos.voduy.com/

Abraço.

[rubensk]

As ferramentas que fazem isso se baseiam ou em histórico de WHOIS/DNS ou scan do espaço IPv4 todo. 

- Se ao invés de usar seu DNS como hidden-master dos da Cloudflare você configurar as entradas DNS diretamente no painel da Cloudflare, elimina um desses problemas. 

- Se você restringir o acesso HTTP/HTTPS a apenas os IPs da Cloudflare (https://www.cloudflare.com/ips/), você elimina o outro problema. 

Aí basta trocar de novo o IP depois de ter feito isso. 

 

[rodrigo286]

4 horas atrás, rubensk disse:

As ferramentas que fazem isso se baseiam ou em histórico de WHOIS/DNS ou scan do espaço IPv4 todo. 

- Se ao invés de usar seu DNS como hidden-master dos da Cloudflare você configurar as entradas DNS diretamente no painel da Cloudflare, elimina um desses problemas. 

- Se você restringir o acesso HTTP/HTTPS a apenas os IPs da Cloudflare (https://www.cloudflare.com/ips/), você elimina o outro problema. 

Aí basta trocar de novo o IP depois de ter feito isso. 

 

Com isso fica realmente escondido, até se usar o plano free?

Obrigado mesmo mestre, nesse resposta você arrasou !!

[rubensk]

4 minutes ago, rodrigo286 said:

Com isso fica realmente escondido, até se usar o plano free?

Obrigado mesmo mestre, nesse resposta você arrasou !!

Só faltou uma coisa que é não colocar DNS reverso no IP... deixar com o padrão do datacenter (ex: 123-234-123-234.static.datacenter.net)

[rodrigo286]

1 minuto atrás, rubensk disse:

Só faltou uma coisa que é não colocar DNS reverso no IP... deixar com o padrão do datacenter (ex: 123-234-123-234.static.datacenter.net)

Pro cara não pegar pelo reverso, até ai tudo bem, mas geralmente o datacenter não deixa também o IP real no reverso, mas com "-" ao invez de ".'?

Abraço.

[rubensk]

1 minute ago, rodrigo286 said:

Pro cara não pegar pelo reverso, até ai tudo bem, mas geralmente o datacenter não deixa também o IP real no reverso, mas com "-" ao invez de ".'?

Abraço.

Isso não tem problema, pois não relaciona o conteúdo com você. O problema é se colocar um domínio seu lá.