IP Protector [OVH]

[Gabriel]

Sera , vorrei sapere cosa ne pensate , purtroppo il sito a cui sto dando una mano viene dossato frequentemente e ovh a detto che ci potrebbe ospitare dandoci IP Protector momentaneamente

Vorrei sapere cosa ne pensate..

Grazie

Gabriel

[DonChisciotte]

sinceramente non ho idea di cosa sia questo IP Protector di OVH; comunque tieni presente che se ricevi attacchi dDoS il punto principale e' quanta banda il provider ti assegna e che tipo di protezioni ha, che comunque servono a mitigare gli attacchi, non ad eliminarli del tutto.
poi dipende se l'attacco e' mirato a tenerti tutta la macchina giu' o solo alcuni servizi, come web o posta.

ciao

[Gabriel]

sinceramente non ho idea di cosa sia questo IP Protector di OVH; comunque tieni presente che se ricevi attacchi dDoS il punto principale e' quanta banda il provider ti assegna e che tipo di protezioni ha, che comunque servono a mitigare gli attacchi, non ad eliminarli del tutto.
poi dipende se l'attacco e' mirato a tenerti tutta la macchina giu' o solo alcuni servizi, come web o posta.

ciao

il problema è il seguente , si tratta di un attacco da BOT NET che mira alla index del sito/forum , facendo così il load del server sale alle stelle e non da la possibilità di "muoversi" all'interno del sito..

[usu]

Visto che l'attacco è mirato a sovraccaricare il sito tempestando di richieste l'index, potresti cominciare col mettere nginx davanti al tuo webserver configurando i moduli limit requests e limit zone a dovere.

[Gabriel]

Visto che l'attacco è mirato a sovraccaricare il sito tempestando di richieste l'index, potresti cominciare col mettere nginx davanti al tuo webserver configurando i moduli limit requests e limit zone a dovere.

Potresti spiegarti meglio?

[usu]

Installi nginx sulla porta 80, metti apache su un'altra porta e proxy le richieste ad apache, poi nella config di nginx ti configuri questi due moduli che restituiscono "503 service unavailable" al superamento di tot richieste/secondo provenienti da uno stesso IP.

NginxHttpLimitReqModule
NginxHttpLimitZoneModule

Sto dando per scontato che tu sia un sysadmin che ha accesso root al server dedicato in questione

[Gabriel]

Abbiamo già provato a utilizzare un modulo che fa un lavoro simile, dos deflate in unione con apf o iptables... Il problema è che gli attacchi non sono ddos volti a saturare la banda, ma provengono da varie botnet ognuna delle quali non fa moltissime richieste, ma semplicemente un GET rivolto direttamente alla home che sovraccarica la CPU, come vedi qui:

195.230.167.206 - - [23/Jul/2010:00:38:17 +0200] "GET /forum/forum.php HTTP/1.1" 200 377 "-" "-"
188.61.94.92 - - [23/Jul/2010:00:38:17 +0200] "GET /forum/forum.php HTTP/1.1" 200 377 "-" "-"
84.25.4.220 - - [23/Jul/2010:00:38:17 +0200] "GET /forum/forum.php HTTP/1.1" 200 377 "-" "-"
84.25.4.220 - - [23/Jul/2010:00:38:17 +0200] "GET /forum/forum.php HTTP/1.1" 200 377 "-" "-"
86.82.127.14 - - [23/Jul/2010:00:38:17 +0200] "GET /forum/forum.php HTTP/1.1" 200 377 "-" "-"
89.119.158.210 - - [23/Jul/2010:00:38:17 +0200] "GET /forum/index.php HTTP/1.1" 200 317420 "-" "-"
...
189.133.54.248 - - [23/Jul/2010:00:38:14 +0200] "GET /forum/index.php HTTP/1.1" 200 317420 "-" "-"
109.93.94.114 - - [23/Jul/2010:00:38:17 +0200] "GET /forum/index.php HTTP/1.1" 200 317420 "-" "-"
190.207.194.73 - - [23/Jul/2010:00:38:18 +0200] "GET /forum/index.php HTTP/1.1" 200 317420 "-" "-"
200.175.80.27 - - [23/Jul/2010:00:38:18 +0200] "GET /forum/index.php HTTP/1.1" 200 317420 "-" "-"
85.150.124.169 - - [23/Jul/2010:00:38:28 +0200] "GET /forum/index.php HTTP/1.1" 503 3199 "-" "-"
201.221.148.237 - - [23/Jul/2010:00:38:28 +0200] "GET /forum/index.php HTTP/1.1" 503 3200 "-" "-"
200.238.124.41 - - [23/Jul/2010:00:38:28 +0200] "GET /forum/index.php HTTP/1.1" 503 3199 "-" "-"
190.234.1.7 - - [23/Jul/2010:00:38:28 +0200] "GET /forum/index.php HTTP/1.1" 503 3196 "-" "-"
190.234.1.7 - - [23/Jul/2010:00:38:28 +0200] "GET /forum/index.php HTTP/1.1" 503 3196 "-" "-"

[DonChisciotte]

uhm con 5-6 richieste al secondo mi sembra strano che il server vada giu' eh... a meno che il problema non sia il carico sul db. hai provato a monitorare il server per capire quale servizio inizia ad andare a palla?
potrebbe pure essere una configurazione errata di apache che fa spawnare troppi processi, per esempio...

ciao

[Gabriel]

No scusa.... giustamente quell'estratto allegato era stato modificato. In realtà ci sono diverse centinaia di richieste al secondo, ma tutte da ip diversi.
In effetti è Apache che usa tutta la cpu e blocca tutto. Ma ti dico che abbiamo provato ad usare anche lighttpd e dava lo stesso problema. E la CPU è una Xeon 4x 2x 2.66+ GHz45nm quindi non dovrebbe dare problemi di carico, senza attacchi non sale più di 1 di load.

[DonChisciotte]

visto che l'attacco e' con un centinaio di macchine. allora dovresti poter mettere ngnix e trovarne beneficio, in quanto ad apache arrivano solo le richieste "buone".

ciao

[Gabriel]

Ho controllato e le botnet attaccanti fanno sulle 400 richieste al secondo tutte verso una pagina grande del sito e da ip diversi. Credi che una soluzione con ngix possa servire? C'è una guida che spiega come configurarlo in questo modo?

[cxcs]

Puoi considerare anche una soluzione basata su Hiawatha come frontend ad Apache,in particolare l'opzione BanOnFlooding ti permette di bannare un client che invii un tot numero di richieste in un determinato arco di tempo.

[Gabriel]

Visto che gli ip attaccanti sono tutti stranieri... sapete dirmi come autorizzare solo IP italiani e bloccare gli altri? Mi parlavano di un kernel ad hoc con la geolocalizzazione...

[FlameNetworks]

Potresti provare con iptables, mettendo in allow solo i CIDR italiani e tutto il resto in deny.
Occhio però che finiresti con l'appesantire il kernel e quindi il sistema.

[guest]

Puoi considerare anche una soluzione basata su Hiawatha come frontend ad Apache,in particolare l'opzione BanOnFlooding ti permette di bannare un client che invii un tot numero di richieste in un determinato arco di tempo.

Se lo scopo è bannare gli IP che fanno DoS, credo che la soluzione migliore possa essere la realizzazione di uno script ad-hoc (ocme facciamo qui) oppure usare fail2ban dopo aver fatto loggare iptables.

O al limite, fare ratelimit direttamente da iptables, se possibile.

mi sembra un po overkill installare un webserver come frontend solo per bannare.