DOS auf Webserver vermeiden/vermindern

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
rok
Beiträge: 215
Registriert: 23.02.2006 16:58:28

DOS auf Webserver vermeiden/vermindern

Beitrag von rok » 14.02.2018 11:59:03

Hallo!
Das ist hier vielleicht etwas Offtopic. Falls ja, würde ich mich auf einen Hinweis in die richtige Richtung freuen.

Seit Tagen bekommt einer meiner Webserver im Sekundentakt mindesten 5 Anfragen von unterschiedlichen IPs (hauptsächlich aus D) auf insgesamt 2 Dateien. Nicht mehr. Das sind 2 Dateien auf der Startseite der Webseite des Webservers. Pro IP gibt es aber nur Anfragen auf diese zwei Dateien, nicht auf alle anderen Dateien, die geladen werden müssen, wenn man auf die Seite kommt. Als Referer wird auch die Startseite mitgegeben. Also denke ich, ist das so eine Art DOS-Angriff.

Ich habe jetzt erst einmal die Dateien umbenannt und auf der Startseite neu verlinkt.
Die Anfragen kommen natürlich immer noch an. Aber erzeugen so IMHO erst mal weniger Traffic, weil der Apache mit 404 antwortet (und vereinzelt noch 304). Die CPU schwitzt aber trotzdem.

Gibt es evtl. eine Möglichkeit, die Anfragen von vornherein abzublocken?
Ala "Wenn 'pfad/dateiname.png', dann blockiere IP"?
Oder per htaccess ein deny?
Fail2ban?

Benutzeravatar
Lord_Carlos
Beiträge: 4194
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von Lord_Carlos » 14.02.2018 12:27:56

Ich meine Fail2ban kann man den webserver log lesen lassen.
Das hier hilft vielleicht weiter: https://www.digitalocean.com/community/ ... untu-14-04

Dazu muss ich sagen das ich sowas selber noch nicht gemacht habe.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
heisenberg
Beiträge: 1321
Registriert: 04.06.2015 01:17:27

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von heisenberg » 14.02.2018 12:37:40

Vielleicht Apache mod_evasive:

https://wiki.ubuntuusers.de/Apache/mod_evasive/

Fail2Ban geht auf jeden Fall auch. Ich würde da aber selbst nur Kurzzeitsperren einrichten(~ 10-60 Minuten). In meinem Bereich habe ich mit Langzeitsperren dann letztlich mehr Ärger gehabt. Siehe: Debianforum Thread 167685

uname
Beiträge: 9461
Registriert: 03.06.2008 09:33:02

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von uname » 14.02.2018 12:47:10

Ich würde einfach mal schauen was passiert, wenn man anstatt der eigentlichen Dateien den Clients Dateien mit einer Größe von einigen GB anbietet. Vielleicht kann man damit die Clients ein wenig beschäftigen und das Zeitintervall höher setzen. Wenn ja könnte man vielleicht einen Redirect (mod_rewrite) verwenden und auf einen externen Hoster umleiten.

Interessant wären im übrigen die Dateinamen und IP-Adressen. Gerne kannst du mir die Daten per PN schicken. Vielleicht fällt mir etwas auf.

Benutzeravatar
Meillo
Moderator
Beiträge: 5053
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von Meillo » 14.02.2018 13:00:13

uname hat geschrieben: ↑ zum Beitrag ↑
14.02.2018 12:47:10
Ich würde einfach mal schauen was passiert, wenn man anstatt der eigentlichen Dateien den Clients Dateien mit einer Größe von einigen GB anbietet. Vielleicht kann man damit die Clients ein wenig beschäftigen und das Zeitintervall höher setzen. Wenn ja könnte man vielleicht einen Redirect (mod_rewrite) verwenden und auf einen externen Hoster umleiten.
Den Vorschlag finde ich gut. Tarpits (und sowas ist ja der Vorschlag hier) sind eine viel zu selten genutzte, aber angemessene Massnahme.
Use ed(1) once in a while!

Benutzeravatar
heisenberg
Beiträge: 1321
Registriert: 04.06.2015 01:17:27

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von heisenberg » 14.02.2018 13:36:03

Ich würde einfach mal schauen was passiert, wenn man anstatt der eigentlichen Dateien den Clients Dateien mit einer Größe von einigen GB anbietet.
Was dann passiert?

Der Angreifer braucht keine 1000 Requests/Sekunde mehr um den Server lahmzulegen, sondern nur noch 10/Sekunde, damit er die Leitung komplett überlastet?

rok
Beiträge: 215
Registriert: 23.02.2006 16:58:28

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von rok » 14.02.2018 13:40:57

Die IP Adressen sind größtenteils Einwahladressen aus Deutschland (Telekom, Arcor, Unitymedia), was mich verwundert. Denn bei Botnetzen kommen die Anfragen von überall. Oder?

mod_evasive läuft jetzt erst mal im Testbetrieb (Logfile), aber geloggt wird derzeit nichts. Wahrscheinlich zu wenig Anfragen (2) pro IP.

Das mit mehreren GB pro Bild wäre aus meiner Sicht dumm, dann braucht's keine 5 Requests pro Sekunde, um den Server lahm zu legen.

uname
Beiträge: 9461
Registriert: 03.06.2008 09:33:02

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von uname » 14.02.2018 13:54:25

rok hat geschrieben:Die IP Adressen sind größtenteils Einwahladressen aus Deutschland (Telekom, Arcor, Unitymedia)
Wahrscheinlich Windows-Rechner mit Malware hinter DSL-Routern oder gehackte DSL-Router. Echte Einwahlnummern sind es wohl eher nicht. Der Angreifer weiß wahrscheinlich nicht mal, warum sein Windows-Rechner plötzlich so langsam ist und die Bandbreite trotz DSL xxx.000 für zusätzliches HD-Fernsehen nicht mehr ausreicht.

Benutzeravatar
HZB
Beiträge: 375
Registriert: 22.10.2003 11:52:15
Wohnort: Wien

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von HZB » 14.02.2018 14:02:43

heisenberg hat geschrieben: ↑ zum Beitrag ↑
14.02.2018 13:36:03
Ich würde einfach mal schauen was passiert, wenn man anstatt der eigentlichen Dateien den Clients Dateien mit einer Größe von einigen GB anbietet.
Was dann passiert?

Der Angreifer braucht keine 1000 Requests/Sekunde mehr um den Server lahmzulegen, sondern nur noch 10/Sekunde, damit er die Leitung komplett überlastet?
Darum hat uname glaube ich auch geschrieben, dass man einen redirect auf einen externen Hoster macht. Dann lahmt zwar der Fakeserver aber nicht mehr der Prod.

Benutzeravatar
HZB
Beiträge: 375
Registriert: 22.10.2003 11:52:15
Wohnort: Wien

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von HZB » 14.02.2018 14:09:22

Da es sich hier um Einwahladressen ( BOT, Zombie oder was weiss der Teufel handelt ) könnte man noch mod_spamhaus in Betracht ziehen.

rok
Beiträge: 215
Registriert: 23.02.2006 16:58:28

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von rok » 14.02.2018 17:18:59

Ich habe davon nur ziemlich alte Versionen gefunden (2008). Gibt es da evtl. etwas neueres von dem Modul?


r4pt0r
Beiträge: 1190
Registriert: 30.04.2007 13:32:44
Lizenz eigener Beiträge: MIT Lizenz

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von r4pt0r » 16.02.2018 16:05:10

Anderer Ansatz: cloudflare. Für kleine/private Seiten gibts nen kostenlosen Tarif.

Ausser globales caching im CDN hat man auch direkt SSL zwischen CDN und user und bekommt DDoS-Schutz der vom gesamten cloudflare-Netz trainiert wird. Die allgemein bekannten bots/netze werden damit von Haus aus schon blockiert; neue Attacken werden i.d.r. innerhalb weniger Stunden erkannt und geblockt.

rok
Beiträge: 215
Registriert: 23.02.2006 16:58:28

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von rok » 16.02.2018 16:54:03

Ich glaub, dass dies kein echter DDOS ist. Denn es werden immer nur 2 Dateien aufgerufen. Das zwingt das System nicht in die Knie sondern ist einfach nur lästig.
Derzeit sind die Anfragen geringer und es wird jetzt schon mal 10GB weniger verbraten. Liegt aber vielleicht daran, dass schon Freitag Nachmittag ist, was die Zombie-Theorie auf jeden Fall unterstützt.

rok
Beiträge: 215
Registriert: 23.02.2006 16:58:28

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von rok » 22.03.2018 09:39:04

Der Scheiß läuft immer noch.
Ich hatte die 2 Grafiken umbenannt, danach wurde es weniger.
Mittlerweile werden aber die 2 Grafiken wieder gefunden und auch aufgerufen. Immer nur die 2 Grafiken (von der Startseite). Keine HTML-/CSS-Datei...

Code: Alles auswählen

31.16.255.218 - - [22/Mar/2018:09:34:59 +0100] "GET /wordpress/wp-content/uploads/2018/02/startseite_14022018.jpg HTTP/1.1" 200 31387 "https://www.domain.de/" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; MANM; rv:11.0) like Gecko"
31.16.255.218 - - [22/Mar/2018:09:34:59 +0100] "GET /wordpress/wp-content/uploads/2018/02/register_fachhandel_14022018.png HTTP/1.1" 200 58844 "https://www.domain.de/" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; MANM; rv:11.0) like Gecko"
80.149.41.99 - - [22/Mar/2018:09:34:59 +0100] "GET /wordpress/wp-content/uploads/2018/02/startseite_14022018.jpg HTTP/1.1" 304 204 "https://www.domain.de/" "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; MASBJS; rv:11.0) like Gecko"
80.149.41.99 - - [22/Mar/2018:09:34:59 +0100] "GET /wordpress/wp-content/uploads/2018/02/register_fachhandel_14022018.png HTTP/1.1" 304 204 "https://www.domain.de/" "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; MASBJS; rv:11.0) like Gecko"

Antworten