DOS auf Webserver vermeiden/vermindern
DOS auf Webserver vermeiden/vermindern
Hallo!
Das ist hier vielleicht etwas Offtopic. Falls ja, würde ich mich auf einen Hinweis in die richtige Richtung freuen.
Seit Tagen bekommt einer meiner Webserver im Sekundentakt mindesten 5 Anfragen von unterschiedlichen IPs (hauptsächlich aus D) auf insgesamt 2 Dateien. Nicht mehr. Das sind 2 Dateien auf der Startseite der Webseite des Webservers. Pro IP gibt es aber nur Anfragen auf diese zwei Dateien, nicht auf alle anderen Dateien, die geladen werden müssen, wenn man auf die Seite kommt. Als Referer wird auch die Startseite mitgegeben. Also denke ich, ist das so eine Art DOS-Angriff.
Ich habe jetzt erst einmal die Dateien umbenannt und auf der Startseite neu verlinkt.
Die Anfragen kommen natürlich immer noch an. Aber erzeugen so IMHO erst mal weniger Traffic, weil der Apache mit 404 antwortet (und vereinzelt noch 304). Die CPU schwitzt aber trotzdem.
Gibt es evtl. eine Möglichkeit, die Anfragen von vornherein abzublocken?
Ala "Wenn 'pfad/dateiname.png', dann blockiere IP"?
Oder per htaccess ein deny?
Fail2ban?
Das ist hier vielleicht etwas Offtopic. Falls ja, würde ich mich auf einen Hinweis in die richtige Richtung freuen.
Seit Tagen bekommt einer meiner Webserver im Sekundentakt mindesten 5 Anfragen von unterschiedlichen IPs (hauptsächlich aus D) auf insgesamt 2 Dateien. Nicht mehr. Das sind 2 Dateien auf der Startseite der Webseite des Webservers. Pro IP gibt es aber nur Anfragen auf diese zwei Dateien, nicht auf alle anderen Dateien, die geladen werden müssen, wenn man auf die Seite kommt. Als Referer wird auch die Startseite mitgegeben. Also denke ich, ist das so eine Art DOS-Angriff.
Ich habe jetzt erst einmal die Dateien umbenannt und auf der Startseite neu verlinkt.
Die Anfragen kommen natürlich immer noch an. Aber erzeugen so IMHO erst mal weniger Traffic, weil der Apache mit 404 antwortet (und vereinzelt noch 304). Die CPU schwitzt aber trotzdem.
Gibt es evtl. eine Möglichkeit, die Anfragen von vornherein abzublocken?
Ala "Wenn 'pfad/dateiname.png', dann blockiere IP"?
Oder per htaccess ein deny?
Fail2ban?
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: DOS auf Webserver vermeiden/vermindern
Ich meine Fail2ban kann man den webserver log lesen lassen.
Das hier hilft vielleicht weiter: https://www.digitalocean.com/community/ ... untu-14-04
Dazu muss ich sagen das ich sowas selber noch nicht gemacht habe.
Das hier hilft vielleicht weiter: https://www.digitalocean.com/community/ ... untu-14-04
Dazu muss ich sagen das ich sowas selber noch nicht gemacht habe.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
- heisenberg
- Beiträge: 3667
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: DOS auf Webserver vermeiden/vermindern
Vielleicht Apache mod_evasive:
https://wiki.ubuntuusers.de/Apache/mod_evasive/
Fail2Ban geht auf jeden Fall auch. Ich würde da aber selbst nur Kurzzeitsperren einrichten(~ 10-60 Minuten). In meinem Bereich habe ich mit Langzeitsperren dann letztlich mehr Ärger gehabt. Siehe: Debianforum Thread 167685
https://wiki.ubuntuusers.de/Apache/mod_evasive/
Fail2Ban geht auf jeden Fall auch. Ich würde da aber selbst nur Kurzzeitsperren einrichten(~ 10-60 Minuten). In meinem Bereich habe ich mit Langzeitsperren dann letztlich mehr Ärger gehabt. Siehe: Debianforum Thread 167685
Re: DOS auf Webserver vermeiden/vermindern
Ich würde einfach mal schauen was passiert, wenn man anstatt der eigentlichen Dateien den Clients Dateien mit einer Größe von einigen GB anbietet. Vielleicht kann man damit die Clients ein wenig beschäftigen und das Zeitintervall höher setzen. Wenn ja könnte man vielleicht einen Redirect (mod_rewrite) verwenden und auf einen externen Hoster umleiten.
Interessant wären im übrigen die Dateinamen und IP-Adressen. Gerne kannst du mir die Daten per PN schicken. Vielleicht fällt mir etwas auf.
Interessant wären im übrigen die Dateinamen und IP-Adressen. Gerne kannst du mir die Daten per PN schicken. Vielleicht fällt mir etwas auf.
Re: DOS auf Webserver vermeiden/vermindern
Den Vorschlag finde ich gut. Tarpits (und sowas ist ja der Vorschlag hier) sind eine viel zu selten genutzte, aber angemessene Massnahme.uname hat geschrieben:14.02.2018 12:47:10Ich würde einfach mal schauen was passiert, wenn man anstatt der eigentlichen Dateien den Clients Dateien mit einer Größe von einigen GB anbietet. Vielleicht kann man damit die Clients ein wenig beschäftigen und das Zeitintervall höher setzen. Wenn ja könnte man vielleicht einen Redirect (mod_rewrite) verwenden und auf einen externen Hoster umleiten.
Use ed once in a while!
- heisenberg
- Beiträge: 3667
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: DOS auf Webserver vermeiden/vermindern
Was dann passiert?Ich würde einfach mal schauen was passiert, wenn man anstatt der eigentlichen Dateien den Clients Dateien mit einer Größe von einigen GB anbietet.
Der Angreifer braucht keine 1000 Requests/Sekunde mehr um den Server lahmzulegen, sondern nur noch 10/Sekunde, damit er die Leitung komplett überlastet?
Re: DOS auf Webserver vermeiden/vermindern
Die IP Adressen sind größtenteils Einwahladressen aus Deutschland (Telekom, Arcor, Unitymedia), was mich verwundert. Denn bei Botnetzen kommen die Anfragen von überall. Oder?
mod_evasive läuft jetzt erst mal im Testbetrieb (Logfile), aber geloggt wird derzeit nichts. Wahrscheinlich zu wenig Anfragen (2) pro IP.
Das mit mehreren GB pro Bild wäre aus meiner Sicht dumm, dann braucht's keine 5 Requests pro Sekunde, um den Server lahm zu legen.
mod_evasive läuft jetzt erst mal im Testbetrieb (Logfile), aber geloggt wird derzeit nichts. Wahrscheinlich zu wenig Anfragen (2) pro IP.
Das mit mehreren GB pro Bild wäre aus meiner Sicht dumm, dann braucht's keine 5 Requests pro Sekunde, um den Server lahm zu legen.
Re: DOS auf Webserver vermeiden/vermindern
Wahrscheinlich Windows-Rechner mit Malware hinter DSL-Routern oder gehackte DSL-Router. Echte Einwahlnummern sind es wohl eher nicht. Der Angreifer weiß wahrscheinlich nicht mal, warum sein Windows-Rechner plötzlich so langsam ist und die Bandbreite trotz DSL xxx.000 für zusätzliches HD-Fernsehen nicht mehr ausreicht.rok hat geschrieben:Die IP Adressen sind größtenteils Einwahladressen aus Deutschland (Telekom, Arcor, Unitymedia)
Re: DOS auf Webserver vermeiden/vermindern
Darum hat uname glaube ich auch geschrieben, dass man einen redirect auf einen externen Hoster macht. Dann lahmt zwar der Fakeserver aber nicht mehr der Prod.heisenberg hat geschrieben:14.02.2018 13:36:03Was dann passiert?Ich würde einfach mal schauen was passiert, wenn man anstatt der eigentlichen Dateien den Clients Dateien mit einer Größe von einigen GB anbietet.
Der Angreifer braucht keine 1000 Requests/Sekunde mehr um den Server lahmzulegen, sondern nur noch 10/Sekunde, damit er die Leitung komplett überlastet?
Re: DOS auf Webserver vermeiden/vermindern
Da es sich hier um Einwahladressen ( BOT, Zombie oder was weiss der Teufel handelt ) könnte man noch mod_spamhaus in Betracht ziehen.
Re: DOS auf Webserver vermeiden/vermindern
Ich habe davon nur ziemlich alte Versionen gefunden (2008). Gibt es da evtl. etwas neueres von dem Modul?
- heisenberg
- Beiträge: 3667
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: DOS auf Webserver vermeiden/vermindern
Scheint wirklich schon sehr alt zu sein. Laut Changelog
https://github.com/jzdziarski/mod_evasi ... /CHANGELOG
Oktober 2005.
https://github.com/jzdziarski/mod_evasi ... /CHANGELOG
Oktober 2005.
Re: DOS auf Webserver vermeiden/vermindern
Anderer Ansatz: cloudflare. Für kleine/private Seiten gibts nen kostenlosen Tarif.
Ausser globales caching im CDN hat man auch direkt SSL zwischen CDN und user und bekommt DDoS-Schutz der vom gesamten cloudflare-Netz trainiert wird. Die allgemein bekannten bots/netze werden damit von Haus aus schon blockiert; neue Attacken werden i.d.r. innerhalb weniger Stunden erkannt und geblockt.
Ausser globales caching im CDN hat man auch direkt SSL zwischen CDN und user und bekommt DDoS-Schutz der vom gesamten cloudflare-Netz trainiert wird. Die allgemein bekannten bots/netze werden damit von Haus aus schon blockiert; neue Attacken werden i.d.r. innerhalb weniger Stunden erkannt und geblockt.
Re: DOS auf Webserver vermeiden/vermindern
Ich glaub, dass dies kein echter DDOS ist. Denn es werden immer nur 2 Dateien aufgerufen. Das zwingt das System nicht in die Knie sondern ist einfach nur lästig.
Derzeit sind die Anfragen geringer und es wird jetzt schon mal 10GB weniger verbraten. Liegt aber vielleicht daran, dass schon Freitag Nachmittag ist, was die Zombie-Theorie auf jeden Fall unterstützt.
Derzeit sind die Anfragen geringer und es wird jetzt schon mal 10GB weniger verbraten. Liegt aber vielleicht daran, dass schon Freitag Nachmittag ist, was die Zombie-Theorie auf jeden Fall unterstützt.
Re: DOS auf Webserver vermeiden/vermindern
Der Scheiß läuft immer noch.
Ich hatte die 2 Grafiken umbenannt, danach wurde es weniger.
Mittlerweile werden aber die 2 Grafiken wieder gefunden und auch aufgerufen. Immer nur die 2 Grafiken (von der Startseite). Keine HTML-/CSS-Datei...
Ich hatte die 2 Grafiken umbenannt, danach wurde es weniger.
Mittlerweile werden aber die 2 Grafiken wieder gefunden und auch aufgerufen. Immer nur die 2 Grafiken (von der Startseite). Keine HTML-/CSS-Datei...
Code: Alles auswählen
31.16.255.218 - - [22/Mar/2018:09:34:59 +0100] "GET /wordpress/wp-content/uploads/2018/02/startseite_14022018.jpg HTTP/1.1" 200 31387 "https://www.domain.de/" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; MANM; rv:11.0) like Gecko"
31.16.255.218 - - [22/Mar/2018:09:34:59 +0100] "GET /wordpress/wp-content/uploads/2018/02/register_fachhandel_14022018.png HTTP/1.1" 200 58844 "https://www.domain.de/" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; MANM; rv:11.0) like Gecko"
80.149.41.99 - - [22/Mar/2018:09:34:59 +0100] "GET /wordpress/wp-content/uploads/2018/02/startseite_14022018.jpg HTTP/1.1" 304 204 "https://www.domain.de/" "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; MASBJS; rv:11.0) like Gecko"
80.149.41.99 - - [22/Mar/2018:09:34:59 +0100] "GET /wordpress/wp-content/uploads/2018/02/register_fachhandel_14022018.png HTTP/1.1" 304 204 "https://www.domain.de/" "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; MASBJS; rv:11.0) like Gecko"
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: DOS auf Webserver vermeiden/vermindern
Ich habe mir die Seite fix angeguckt und jedenfalls laut meinem Browser werden die Bannerbilder alle 2 Sekunden wieder runtergeladen. Fehlt da vielleicht eine art Cache Einstellung?
Auch wenn der Tab im hintergrund ist.
Warum startseite und fachhandel.jpg immer wieder geladen werden obwohl sie nicht teil des rotierenden Banners sind weis ich auch nicht. Ich habe mir den JS code aber auch nicht angeguckt.
Ich vermute das es an deinem Webseitencode liegt, nicht an einer dritten Person.
So pi mal Daumen hat mein Browser startseite.jpeg 3 mal in der Minute runtergeladen.
Auch wenn der Tab im hintergrund ist.
Warum startseite und fachhandel.jpg immer wieder geladen werden obwohl sie nicht teil des rotierenden Banners sind weis ich auch nicht. Ich habe mir den JS code aber auch nicht angeguckt.
Ich vermute das es an deinem Webseitencode liegt, nicht an einer dritten Person.
So pi mal Daumen hat mein Browser startseite.jpeg 3 mal in der Minute runtergeladen.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: DOS auf Webserver vermeiden/vermindern
Die Webseite ist nicht von mir. Ich stelle nur den Server.
Wie konntest du dir die Seite ansehen, ich hatte doch gar keine URL genannt?
Mit welchem Browser hast du getestet?
Die Sliderbilder werden natürlich herunter geladen. Aber IMHO nicht mehrfach.
Wie konntest du dir die Seite ansehen, ich hatte doch gar keine URL genannt?
Mit welchem Browser hast du getestet?
Die Sliderbilder werden natürlich herunter geladen. Aber IMHO nicht mehrfach.
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: DOS auf Webserver vermeiden/vermindern
Chrome.
Die Bildernamen sind einzigartig.
~1 Minute:
Die beiden Hauptbilder sind da jeweils 3 mal dabei.
Ja, sieht so aus als wenn die Slideshowbilder nicht doppelt geladen werden. Aber die beiden anderen Bilder werden auch nach 5 Minuten immer wieder runtergeladen.
Die Bildernamen sind einzigartig.
~1 Minute:
Die beiden Hauptbilder sind da jeweils 3 mal dabei.
Ja, sieht so aus als wenn die Slideshowbilder nicht doppelt geladen werden. Aber die beiden anderen Bilder werden auch nach 5 Minuten immer wieder runtergeladen.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: DOS auf Webserver vermeiden/vermindern
Wer in der Lage ist, Google zu bedienen, findet auch deine Starseiterok hat geschrieben:22.03.2018 11:35:25Wie konntest du dir die Seite ansehen, ich hatte doch gar keine URL genannt?
Hat mich etwa 5s gekostet.
Re: DOS auf Webserver vermeiden/vermindern
Hehe, du Fuchs!!
Der Chrome ruft tatsächlich die Elemente neu ab. Mein Safari macht das nicht.
Ich habe mir das jetzt mal genauer angesehen. Die Designerin hat hier 2 Slider verwendet. Es wird aber nur jeweils ein Bild genutzt. Klar, der Slider ruf dann alle paar Sekunden das Bild ab. Der Server schickt zwar ein 403 und es passiert nicht viel, aber Last wird ja dennoch unnötig erzeugt. Ich lasse das mal durch ein normales Bild austauschen. Das dürfte den Spuk auflösen lassen. Danke für deine Hilfe!!
Der Chrome ruft tatsächlich die Elemente neu ab. Mein Safari macht das nicht.
Ich habe mir das jetzt mal genauer angesehen. Die Designerin hat hier 2 Slider verwendet. Es wird aber nur jeweils ein Bild genutzt. Klar, der Slider ruf dann alle paar Sekunden das Bild ab. Der Server schickt zwar ein 403 und es passiert nicht viel, aber Last wird ja dennoch unnötig erzeugt. Ich lasse das mal durch ein normales Bild austauschen. Das dürfte den Spuk auflösen lassen. Danke für deine Hilfe!!
Re: DOS auf Webserver vermeiden/vermindern
OT: diese Hinweise hättest du aber auch schon lange haben können, hättest du die problematische Seite im Eingangsbeitrag verlinkt.
Re: DOS auf Webserver vermeiden/vermindern
Ich wolte nicht unbedingt, dass ein Server, welcher unter Last leidet, nicht noch mehr Last bekommt. Sorry!
Ich verspreche dennoch Besserung!
Ich verspreche dennoch Besserung!
Re: DOS auf Webserver vermeiden/vermindern
Naja, wenn man mal etwas realistisch draufschaut: ein handelsüblicher kleinerer Webserver sollte schon in der Lage sein, 100 Seiten pro Sekunde auszuliefern. So viele User haben sich den Thread nun auch nicht angeschaut, so dass die Kiste von den drei zusätzlichen Aufrufen die Stunde wohl auch nicht nennenswert in die Knie gezwungen worden wäre
Re: DOS auf Webserver vermeiden/vermindern
Dabei hatte ich nicht an die User gedacht, welche hier im Forum unterwegs sind. Es gibt genug Idioten da draußen, welche gern mal URLs grabben oder sonstwas anstellen. Oder werden URLs für nicht User hier im Forum maskiert?
Re: DOS auf Webserver vermeiden/vermindern
Ich sag’s mal so: wenn du nicht willst, dass deine Seite öffentlich erreichbar/auffindbar ist, dann nimm sie halt einfach vom Netz. Ansonsten ist’s ja gerade der Sinn von Seiten, dass sie gefunden und aufgerufen werden.