Attacchi DDOS

[tecnolive]

Ciao ragazzi,

Oggi ho ricevuto il mio primo attacco flood......

Diciamo che sono entrato nel panico..... sono riuscito a capire come bannare gli ip dall'iptables....

Premetto che il sistema operativo è CENTOS....

Vorrei sapere: come posso visualizzare gli ip che stanno facendo le richieste ad apache ?
In modo tale che individuo gli ip che stanno facendo tante richieste e li ficco nell'ipTables....

Nel contempo conoscete qualche script shell o qualcosa che mi blocca gli attacchi ?

Grazie a tutti...
Saluti.

[EvolutionCrazy]

mod_dosevasive (rischi di far collassare tutto pero' se gli ip coinvolti sono veramente tanti)

i genere i ddos fatti contro apache hanno un pattern bello chiaro che e' semplice da individuare e bloccare (una singola pagina o limitate variazione di tale pagina/pagine non esistenti)...

scripts che facciano tutto da soli non saprei... trovi in giro qualcosa di gia' fatto... ma mai provati...

[tecnolive]

Grazie evcz....

Ti voglio bene

[FlameNetworks]

tecnolive puoi usare netstat ed lsof per controllare le connessioni ed eventualmente filtrare gli IP con iptables.

Ciao,

Fabrizio

[guest]

Ma da cosa hai capito che si tratta di un ddos?
Solitamente lo vedi dagli IP e dalle connessioni solitamente in SYN, ma se non sai come verificare gli IP, da cosa l'hai capito?

[tecnolive]

L'ho capito perchè le risorse del server sono schizzate al 100%.... il server mysql andava giù.....

Plesk andava giù pure....

Il picco di banda era alto... andando in server-status (è un modulo di apache che mi fa vedere lo stato di apache) ho visto che c'erano tantissime richieste in coda... ho controllato i log poi, ho notato che si stavano cercando cartelle tipo: /private/admin, private/administrator, /private/secuty e via dicendo...

Ora ho capito come trovare gli ip, ho fatto uno script sh che raggruppa le richieste IP...........
Così li sbatto nell'iptables se succede qualcosa :P

Grazie anche a voi cmq e grazie a evcz ora sto abilitando quel moduletto carino.

[guest]

Nei log dove hai visto che cercano di accedere a quelle directory, dovresti avere anche gli IP.

[tecnolive]

Ciao Alex (non il commerciale :P),
Conosci qualche software per leggere i log di apache in maniera pulita e ordinata ?

[guest]

In che senso "pulita e ordinata" ?
tail e less non bastano?

[tecnolive]

Ok prendetemi per noob :P

Usavo plesk per leggere i log

[Sciax2]

con centos per visualizzare da shell solo le connessione fatte dai singoli IP digita questo:

Codice:

netstat -an | grep :80 | awk '{print $5 }' | grep -o -P '\d+\.\d+\.\d+\.\d+' | sort | uniq -c | sort -n | tail

così ti accorgi subito se si tratta di dos e l'ip da bannare

in che modo lavora mod_dosevasive?