WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Linux, UNIX, Open Source (http://www.wcm.at/forum/forumdisplay.php?f=13)
-   -   DOS Attacke auf Apache? (http://www.wcm.at/forum/showthread.php?t=136633)

eAnic 11.06.2004 19:51
DOS Attacke auf Apache?
 
hallo

Ich hab ein kleines Sicherheitsproblem mit meinem Apache Daemon.

Seit gut einer Stunden kommen aus dem 65.110.35. Netz extrem viele Anfragen auf meinen Webserver, was zur Folge hat, dass mir ps aux ca 180-200 laufende Prozesse angezeigt hat.

Dass der Server dadurch extrem in die Knie geht, muss ich ja wohl nicht erwähnen.
Gibt es eine Möglichkeit, dass zu unterbinden?

Achja, die Anfragen kommen immer von 10er IP Nummern, also 65.110.35.110, 65.110.35 150...

flocky 11.06.2004 20:07
Re: DOS Attacke auf Apache?
 
versuchs mal in der httpd.conf mit dem redirective "deny from [IP]"

eAnic 11.06.2004 20:33
Danke für den Tip, aber das funktioniert nicht.

Ich habe innerhalb einer Minute wieder gut 150 Prozesse laufen. :(

flocky 11.06.2004 20:36
ok, schau dich mal durch die liste durch: http://httpd.apache.org/docs/mod/directives.html

Sloter 11.06.2004 20:40
Da hilft nur die IP über IPTables zu filtern oder direkt am Router die IP zu sperren.

Sloter

flocky 11.06.2004 20:41
das hab ich mir auch dacht, allerdings glaub ich, dass er da schon selber draufkommen wäre ;)

eAnic 11.06.2004 20:42
Das dachte ich mir schon beinahe.

Wie limitiere ich eig. die Anzahl der gleichzeitig laufenden Prozesse?

eAnic 11.06.2004 20:43
Achja, und wie schützt sich eig. ein hosting provider gegen solche Angriffe?
Die können ja ned laufend ihre Firewall aktualisieren.

flocky 11.06.2004 20:44
Zitat:
Original geschrieben von eAnic
Achja, und wie schützt sich eig. ein hosting provider gegen solche Angriffe?
Die können ja ned laufend ihre Firewall aktualisieren.
naja wenns eine echte dos-attack is hilft ja in den meisten fällen statefull monitoring ;)
außerdem decreasen vom timeout

edit: http://httpd.apache.org/docs/mod/cor...axspareservers wenn das nicht hilft scroll mal rauf, die max* directives könnten auch was sein

Sloter 11.06.2004 20:47
IP sperren am Router bei DOS Attacken, wenn es eine heftige Attacke ist. Sonst reicht meistens das sperren auf der Firewall.
Wir haben leider laufend damit zu tun :mad:

<Wie limitiere ich eig. die Anzahl der gleichzeitig laufenden Prozesse?

In der httpd.conf :-)

Sloter

flocky 11.06.2004 20:48
Zitat:
Original geschrieben von Sloter
<allerdings glaub ich, dass er da schon selber draufkommen wäre
Wer ist er? :rolleyes:
eAnic? :rolleyes:

Sloter 11.06.2004 20:49
Bin ein Spätzünder :)

Sloter

Sloter 11.06.2004 20:51
Noch was :)

Dos machen mächtig Traffic.
Wenn du eine Statistik hast, kontrolliere den Verbrauch und dreh gegebenfalls den Server ein paar Stunden ab.

Sloter

flocky 11.06.2004 21:28
achja, ich hab getraced, der angreifer kommt aus tampa ;)

eAnic 11.06.2004 21:32
Tampa? :lol:

Gibts eine Möglichkeit dem zu zeigen, dass er mit sowas nicht ungestraft davonkommt?

Zum beispiel ihn sperren lassen, oder so.

Achja, ich aktualisiere gerade meine Firewall mit einem DROP Eintrag auf sein Netzwerksegment, da er scheinbar nicht genug Anfragen für eine DOS Abwehr absetzt.

Sloter 11.06.2004 21:45
Zu 99,9% handelt sich um eine gehackte Maschine und die wird nur als proxy verwendet.

Beschweren kannst du dich am Salzamt :heul:

Sloter

eAnic 11.06.2004 21:50
na eh klar - jetzt wo ich die Regel drinnen hab, hat der Depp aufgehört. :motz:


Alle Zeitangaben in WEZ +2. Es ist jetzt 13:23 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag