DDOS Question

[l0rd0x]

Salve, sto ricevendo un attacco ddos sul mio server dedicato, fortunatamente il mio server regge tutto il traffico inviato ed il sito è solamente rallentantato, però cè un problema altrettanto grave, lo spreco disumano della banda, ho 4Tb mensili di banda e da quando è partito quest'attacco ( ieri ) mi ha già sprecato 1TB..

Ecco il grafico In ed out:




Ecco un pezzo dell'access log di nginx:
http://nopaste.info/751e69f151_nl.html

L'attacco è indirizzato inviando richieste in GET verso le categorie "anime e cartoni" e "film".

e da tantissimi ip, che a loro volta si ripetono e si moltiplicano tra loro.

Probabilmente il tizio che mi attacca, ha un sito web con un tasso altissimo di visite giornaliere e mette un iframe alla fine del suo sito web con queste due richieste, visto che gli ip sono tutti provenienti da connessioni adsl italiane.

Ho installato nginx e advanced policy firewall, avevo sentito parlare della mod di NginxHttpLimitReqModule.

Ho provato a smanettarci, senza buoni risultati.

Cosa potrei fare? Saluti

[xAnder]

Se sei su OVH, puoi chiederti di farti mettere dentro la router protection per attacchi DoS.
In apf hai abilitato le liste dei *network malefici*? Quelle che iniziano con DLIST?

Con NginxHttpLimitReqModule puoi limitare le pagine che nginx può servire a un indirizzo ip in un arco di tempo. Più che evitare l'attacco dDoS, ti aiuta a mantenere un carico del server accettabile

[Uno]

Probabilmente il tizio che mi attacca, ha un sito web con un tasso altissimo di visite giornaliere e mette un iframe alla fine del suo sito web con queste due richieste, visto che gli ip sono tutti provenienti da connessioni adsl italiane.

A meno che tu non abbia litigato con Matt Cutts e che abbia messo un iframe su google.it.... ne dubito

[Topper]

Prova a mettere un controllo sul referer, in modo che se le visite non arrivano da una pagina del tuo sito blocchi l'accesso. In questo modo se il problema è causato da uno o più siti che ti hotlinkano le directory risolvi il problema.

Trovi un esempio qua:

Block Hotlinking with Apache Web Server | NerdGrind

[Uno]

Prova a mettere un controllo sul referer, in modo che se le visite non arrivano da una pagina del tuo sito blocchi l'accesso. In questo modo se il problema è causato da uno o più siti che ti hotlinkano le directory risolvi il problema.

Trovi un esempio qua:

Block Hotlinking with Apache Web Server | NerdGrind

Geniale!
Sei il 666 del Seo, (che fa pure rima)
l'AntiSeo incarnato.

"Nato da un webmaster flash e da una madre provider con solo piani win senza rewrite. Egli mosse i primi passi ripudiando gli MDR e osannando js invasivi e non usabili. il suo regno era un server home noip funzionante a giorni alterni, la sua filosofia: "il sito è mio e me lo vedo io, fanc... gli altri"
All'età di 14 anni si manifestò nella rete con il suo colpo di maestro, il sito che si poteva visitare solo partendo dalla home. A 16 lo perfezionò rendendolo visitabile solo a chi superasse anche un captcha (sempre dalla home), a 20 raggiunse l'apoteosi e la perfezione: il sito divenne visitabile solo su invito nominativo richiedibile tramite pec.
L'AntiSeo si era manifestato in tutto il suo splendore."

(sto scherzando eh )

Ma come c'è gente che paga per aver dei link in entrata.. e lui dovrebbe bloccare tutte le visite che potrebbero arrivargli da google direttamente all'interno del sito?

L'hot link block si usa per i media (immagini, video etc) non per le directory

[Topper]

Beh se il suo problema grosso è che gli consumano banda e rischia di pagare uno sproposito...

Non parla di revenue sui link in entrata, se fossero visite lecite penso che non sarebbe un problema, e invece di cercare di limitare le connessioni cercherebbe un modo per ampliare le risorse a sua disposizione.

Può bloccare sono determinati referer, e solo verso certi oggetti, vedrà lui come operare in base alle sue esigenze, che ne io ne te conosciamo.

[Uno]

Può bloccare sono determinati referer, e solo verso certi oggetti, vedrà lui come operare in base alle sue esigenze, che ne io ne te conosciamo.

Quindi anche tu credi che gli stiano facendo circa 100mb di traffico al secondo con degli hotlink?

Tutto di colpo?


Cerco di fare il serio, ma è dura......

[Topper]

Secondo te non è possibile? Si discute, per capire eh.

Che alternative ci sono? Se fosse un DDOS vero e proprio atto a sfondargli la macchina e le risorse vorrebbe dire che qualcuno in possesso di una botnet tutta italiana lo ha preso di mira. Trovo molto più probabile che invece un sito/forum frequentato da italiani con parecchie visite lo stia hotlinkando. Se le pagine all'interno di quelle directory sono molto pesanti non ci vuole un sito che fa 10.000 visite al minuto per saturare una 100 Mbit.

Non conosco il contenuto dei suo sito ma visti i nomi delle directory (film, anime-cartoni) mi viene da pensare a siti/forum tipo italiansubs, e decine di affini, che di visite immagino ne facciano.

[usu]

Secondo te non è possibile? Si discute, per capire eh.

Che alternative ci sono? Se fosse un DDOS vero e proprio atto a sfondargli la macchina e le risorse vorrebbe dire che qualcuno in possesso di una botnet tutta italiana lo ha preso di mira. Trovo molto più probabile che invece un sito/forum frequentato da italiani con parecchie visite lo stia hotlinkando. Se le pagine all'interno di quelle directory sono molto pesanti non ci vuole un sito che fa 10.000 visite al minuto per saturare una 100 Mbit.

Non conosco il contenuto dei suo sito ma visti i nomi delle directory (film, anime-cartoni) mi viene da pensare a siti/forum tipo italiansubs, e decine di affini, che di visite immagino ne facciano.

Giuro che io non c'entro niente
Comunque sembra strana anche a me la cosa dell'iframe... Nel referrer delle richieste http non c'è niente?

[Topper]

Giuro che io non c'entro niente
Comunque sembra strana anche a me la cosa dell'iframe... Nel referrer delle richieste http non c'è niente?

Ahah non avevo mai badato alla firma

Cmq si, basterebbe avere i log completi di referer per chiarire se si tratta di richieste dirette o meno. Bisognerebbe sapere se il log_format del suo Ngix è impostato per loggare il referer.

[Uno]

Secondo te non è possibile? Si discute, per capire eh.

Che alternative ci sono? Se fosse un DDOS vero e proprio atto a sfondargli la macchina e le risorse vorrebbe dire che qualcuno in possesso di una botnet tutta italiana lo ha preso di mira. Trovo molto più probabile che invece un sito/forum frequentato da italiani con parecchie visite lo stia hotlinkando. Se le pagine all'interno di quelle directory sono molto pesanti non ci vuole un sito che fa 10.000 visite al minuto per saturare una 100 Mbit.

Non conosco il contenuto dei suo sito ma visti i nomi delle directory (film, anime-cartoni) mi viene da pensare a siti/forum tipo italiansubs, e decine di affini, che di visite immagino ne facciano.

10000 visite al minuto no, ma un 5/600 e anche più si a meno che non abbia pagine da 10 mb, ma allora di che stiamo parlando?
Se ha pagine da 10 mb è normale che si trovi in questa situazione.

In ogni caso staremmo parlando di un sito che dovrebbe fare un 5/600mila view al giorno. Vuoi che abbia litigato con uno di questi siti e che questi gli abbiano inserito un hot link nascosto (rischiando di penalizzarsi con gli mdr) solo per fargli un dispetto?

Mi pare un pò fantascientifico.

[Topper]

Vuoi che abbia litigato con uno di questi siti e che questi gli abbiano inserito un hot link nascosto (rischiando di penalizzarsi con gli mdr) solo per fargli un dispetto?

Mi pare un pò fantascientifico.

Non pensavo ad un dispetto, più ad ignoranza. Non sarebbe la prima volta che vedo webmaster hotlinkare senza malizia e senza sapere quello che stanno facendo. Ho visto un server cadere sotto il proprio peso (causa banda satura) da un momento all'altro perchè qualcuno aveva comprato lo spazio per un banner pubblicitario a rotazione su una nota webmail italiana, hotlinkandolo dal proprio sito, non immaginando le conseguenze.

[l0rd0x]

Sto risolvendo facendomi installare Cisco Anomaly Detection System, un firewall hardware esterno che individua e blocca automaticamente 32 tipi di attacchi DDOS, comunque, io credo sia un hotlink, visto che scansionando i log ad orari diversi, non cè neanche un ip che combacia, mentre provando a leggere i log degli stessi orari giornaliere, ci sono vari ip che combaciano, questo è dovuto al fatto che ci siano visitatori di certi orari, e visitatori di altri.

[Uno]

Non pensavo ad un dispetto, più ad ignoranza. Non sarebbe la prima volta che vedo webmaster hotlinkare senza malizia e senza sapere quello che stanno facendo. Ho visto un server cadere sotto il proprio peso (causa banda satura) da un momento all'altro perchè qualcuno aveva comprato lo spazio per un banner pubblicitario a rotazione su una nota webmail italiana, hotlinkandolo dal proprio sito, non immaginando le conseguenze.

Si ma torniamo al discorso hotlink, cioè c'è una immagine, un video, un qualsiasi media (nel caso da te citato un banner, quindi immagine o flash) che viene anche caricato sulla pagina incriminata.
Se uno linka staticamente una pagina (una directory corrisponde alla pagine index di quella cartella) del mio sito al mio sito non da nessun peso. Se mi mettessero tutta la pagina in un iframe nascosto allora si che mi creerebbe problemi. Ma solo un pazzo potrebbe fare una cosa del genere su un sito ben piazzato.

comunque, io credo sia un hotlink, visto che scansionando i log ad orari diversi, non cè neanche un ip che combacia, mentre provando a leggere i log degli stessi orari giornaliere, ci sono vari ip che combaciano, questo è dovuto al fatto che ci siano visitatori di certi orari, e visitatori di altri.

Ma i referrer?
Tu sei libero di credere quello che vuoi, ci mancherebbe, ma l'ipotesi è inverosimile ad essere diplomatici.

[l0rd0x]

Ma i referrer?
Tu sei libero di credere quello che vuoi, ci mancherebbe, ma l'ipotesi è inverosimile ad essere diplomatici.

Referrer??? riuscirebbe a nasconderli anche mia nonna.
L'ipotesi inverosimile ragionando da persona normale, lo potrebbe essere.
Ma visto che nel mondo la normalità di questi tempi non va di moda, è più probabile la mia ipotesi.. oppure potresti ipotetizzare un attacco ddos da migliaia di pc zombie?