DOS auf Webserver vermeiden/vermindern

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
rok
Beiträge: 231
Registriert: 23.02.2006 16:58:28

DOS auf Webserver vermeiden/vermindern

Beitrag von rok » 14.02.2018 11:59:03

Hallo!
Das ist hier vielleicht etwas Offtopic. Falls ja, würde ich mich auf einen Hinweis in die richtige Richtung freuen.

Seit Tagen bekommt einer meiner Webserver im Sekundentakt mindesten 5 Anfragen von unterschiedlichen IPs (hauptsächlich aus D) auf insgesamt 2 Dateien. Nicht mehr. Das sind 2 Dateien auf der Startseite der Webseite des Webservers. Pro IP gibt es aber nur Anfragen auf diese zwei Dateien, nicht auf alle anderen Dateien, die geladen werden müssen, wenn man auf die Seite kommt. Als Referer wird auch die Startseite mitgegeben. Also denke ich, ist das so eine Art DOS-Angriff.

Ich habe jetzt erst einmal die Dateien umbenannt und auf der Startseite neu verlinkt.
Die Anfragen kommen natürlich immer noch an. Aber erzeugen so IMHO erst mal weniger Traffic, weil der Apache mit 404 antwortet (und vereinzelt noch 304). Die CPU schwitzt aber trotzdem.

Gibt es evtl. eine Möglichkeit, die Anfragen von vornherein abzublocken?
Ala "Wenn 'pfad/dateiname.png', dann blockiere IP"?
Oder per htaccess ein deny?
Fail2ban?

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von Lord_Carlos » 14.02.2018 12:27:56

Ich meine Fail2ban kann man den webserver log lesen lassen.
Das hier hilft vielleicht weiter: https://www.digitalocean.com/community/ ... untu-14-04

Dazu muss ich sagen das ich sowas selber noch nicht gemacht habe.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von heisenberg » 14.02.2018 12:37:40

Vielleicht Apache mod_evasive:

https://wiki.ubuntuusers.de/Apache/mod_evasive/

Fail2Ban geht auf jeden Fall auch. Ich würde da aber selbst nur Kurzzeitsperren einrichten(~ 10-60 Minuten). In meinem Bereich habe ich mit Langzeitsperren dann letztlich mehr Ärger gehabt. Siehe: Debianforum Thread 167685
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von uname » 14.02.2018 12:47:10

Ich würde einfach mal schauen was passiert, wenn man anstatt der eigentlichen Dateien den Clients Dateien mit einer Größe von einigen GB anbietet. Vielleicht kann man damit die Clients ein wenig beschäftigen und das Zeitintervall höher setzen. Wenn ja könnte man vielleicht einen Redirect (mod_rewrite) verwenden und auf einen externen Hoster umleiten.

Interessant wären im übrigen die Dateinamen und IP-Adressen. Gerne kannst du mir die Daten per PN schicken. Vielleicht fällt mir etwas auf.

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von Meillo » 14.02.2018 13:00:13

uname hat geschrieben: ↑ zum Beitrag ↑
14.02.2018 12:47:10
Ich würde einfach mal schauen was passiert, wenn man anstatt der eigentlichen Dateien den Clients Dateien mit einer Größe von einigen GB anbietet. Vielleicht kann man damit die Clients ein wenig beschäftigen und das Zeitintervall höher setzen. Wenn ja könnte man vielleicht einen Redirect (mod_rewrite) verwenden und auf einen externen Hoster umleiten.
Den Vorschlag finde ich gut. Tarpits (und sowas ist ja der Vorschlag hier) sind eine viel zu selten genutzte, aber angemessene Massnahme.
Use ed once in a while!

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von heisenberg » 14.02.2018 13:36:03

Ich würde einfach mal schauen was passiert, wenn man anstatt der eigentlichen Dateien den Clients Dateien mit einer Größe von einigen GB anbietet.
Was dann passiert?

Der Angreifer braucht keine 1000 Requests/Sekunde mehr um den Server lahmzulegen, sondern nur noch 10/Sekunde, damit er die Leitung komplett überlastet?
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

rok
Beiträge: 231
Registriert: 23.02.2006 16:58:28

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von rok » 14.02.2018 13:40:57

Die IP Adressen sind größtenteils Einwahladressen aus Deutschland (Telekom, Arcor, Unitymedia), was mich verwundert. Denn bei Botnetzen kommen die Anfragen von überall. Oder?

mod_evasive läuft jetzt erst mal im Testbetrieb (Logfile), aber geloggt wird derzeit nichts. Wahrscheinlich zu wenig Anfragen (2) pro IP.

Das mit mehreren GB pro Bild wäre aus meiner Sicht dumm, dann braucht's keine 5 Requests pro Sekunde, um den Server lahm zu legen.

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von uname » 14.02.2018 13:54:25

rok hat geschrieben:Die IP Adressen sind größtenteils Einwahladressen aus Deutschland (Telekom, Arcor, Unitymedia)
Wahrscheinlich Windows-Rechner mit Malware hinter DSL-Routern oder gehackte DSL-Router. Echte Einwahlnummern sind es wohl eher nicht. Der Angreifer weiß wahrscheinlich nicht mal, warum sein Windows-Rechner plötzlich so langsam ist und die Bandbreite trotz DSL xxx.000 für zusätzliches HD-Fernsehen nicht mehr ausreicht.

Benutzeravatar
HZB
Beiträge: 486
Registriert: 22.10.2003 11:52:15
Wohnort: Wien

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von HZB » 14.02.2018 14:02:43

heisenberg hat geschrieben: ↑ zum Beitrag ↑
14.02.2018 13:36:03
Ich würde einfach mal schauen was passiert, wenn man anstatt der eigentlichen Dateien den Clients Dateien mit einer Größe von einigen GB anbietet.
Was dann passiert?

Der Angreifer braucht keine 1000 Requests/Sekunde mehr um den Server lahmzulegen, sondern nur noch 10/Sekunde, damit er die Leitung komplett überlastet?
Darum hat uname glaube ich auch geschrieben, dass man einen redirect auf einen externen Hoster macht. Dann lahmt zwar der Fakeserver aber nicht mehr der Prod.

Benutzeravatar
HZB
Beiträge: 486
Registriert: 22.10.2003 11:52:15
Wohnort: Wien

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von HZB » 14.02.2018 14:09:22

Da es sich hier um Einwahladressen ( BOT, Zombie oder was weiss der Teufel handelt ) könnte man noch mod_spamhaus in Betracht ziehen.

rok
Beiträge: 231
Registriert: 23.02.2006 16:58:28

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von rok » 14.02.2018 17:18:59

Ich habe davon nur ziemlich alte Versionen gefunden (2008). Gibt es da evtl. etwas neueres von dem Modul?

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von heisenberg » 14.02.2018 17:24:51

Scheint wirklich schon sehr alt zu sein. Laut Changelog

https://github.com/jzdziarski/mod_evasi ... /CHANGELOG

Oktober 2005.
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

r4pt0r
Beiträge: 1237
Registriert: 30.04.2007 13:32:44
Lizenz eigener Beiträge: MIT Lizenz

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von r4pt0r » 16.02.2018 16:05:10

Anderer Ansatz: cloudflare. Für kleine/private Seiten gibts nen kostenlosen Tarif.

Ausser globales caching im CDN hat man auch direkt SSL zwischen CDN und user und bekommt DDoS-Schutz der vom gesamten cloudflare-Netz trainiert wird. Die allgemein bekannten bots/netze werden damit von Haus aus schon blockiert; neue Attacken werden i.d.r. innerhalb weniger Stunden erkannt und geblockt.

rok
Beiträge: 231
Registriert: 23.02.2006 16:58:28

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von rok » 16.02.2018 16:54:03

Ich glaub, dass dies kein echter DDOS ist. Denn es werden immer nur 2 Dateien aufgerufen. Das zwingt das System nicht in die Knie sondern ist einfach nur lästig.
Derzeit sind die Anfragen geringer und es wird jetzt schon mal 10GB weniger verbraten. Liegt aber vielleicht daran, dass schon Freitag Nachmittag ist, was die Zombie-Theorie auf jeden Fall unterstützt.

rok
Beiträge: 231
Registriert: 23.02.2006 16:58:28

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von rok » 22.03.2018 09:39:04

Der Scheiß läuft immer noch.
Ich hatte die 2 Grafiken umbenannt, danach wurde es weniger.
Mittlerweile werden aber die 2 Grafiken wieder gefunden und auch aufgerufen. Immer nur die 2 Grafiken (von der Startseite). Keine HTML-/CSS-Datei...

Code: Alles auswählen

31.16.255.218 - - [22/Mar/2018:09:34:59 +0100] "GET /wordpress/wp-content/uploads/2018/02/startseite_14022018.jpg HTTP/1.1" 200 31387 "https://www.domain.de/" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; MANM; rv:11.0) like Gecko"
31.16.255.218 - - [22/Mar/2018:09:34:59 +0100] "GET /wordpress/wp-content/uploads/2018/02/register_fachhandel_14022018.png HTTP/1.1" 200 58844 "https://www.domain.de/" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; MANM; rv:11.0) like Gecko"
80.149.41.99 - - [22/Mar/2018:09:34:59 +0100] "GET /wordpress/wp-content/uploads/2018/02/startseite_14022018.jpg HTTP/1.1" 304 204 "https://www.domain.de/" "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; MASBJS; rv:11.0) like Gecko"
80.149.41.99 - - [22/Mar/2018:09:34:59 +0100] "GET /wordpress/wp-content/uploads/2018/02/register_fachhandel_14022018.png HTTP/1.1" 304 204 "https://www.domain.de/" "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; MASBJS; rv:11.0) like Gecko"

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von Lord_Carlos » 22.03.2018 10:16:52

Ich habe mir die Seite fix angeguckt und jedenfalls laut meinem Browser werden die Bannerbilder alle 2 Sekunden wieder runtergeladen. Fehlt da vielleicht eine art Cache Einstellung?
Auch wenn der Tab im hintergrund ist.

Warum startseite und fachhandel.jpg immer wieder geladen werden obwohl sie nicht teil des rotierenden Banners sind weis ich auch nicht. Ich habe mir den JS code aber auch nicht angeguckt.
Ich vermute das es an deinem Webseitencode liegt, nicht an einer dritten Person.

So pi mal Daumen hat mein Browser startseite.jpeg 3 mal in der Minute runtergeladen.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

rok
Beiträge: 231
Registriert: 23.02.2006 16:58:28

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von rok » 22.03.2018 11:35:25

Die Webseite ist nicht von mir. Ich stelle nur den Server.
Wie konntest du dir die Seite ansehen, ich hatte doch gar keine URL genannt?
Mit welchem Browser hast du getestet?
Die Sliderbilder werden natürlich herunter geladen. Aber IMHO nicht mehrfach.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von Lord_Carlos » 22.03.2018 11:49:30

Chrome.
Die Bildernamen sind einzigartig.

~1 Minute:
Bild

Die beiden Hauptbilder sind da jeweils 3 mal dabei.
Ja, sieht so aus als wenn die Slideshowbilder nicht doppelt geladen werden. Aber die beiden anderen Bilder werden auch nach 5 Minuten immer wieder runtergeladen.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von MSfree » 22.03.2018 11:55:08

rok hat geschrieben: ↑ zum Beitrag ↑
22.03.2018 11:35:25
Wie konntest du dir die Seite ansehen, ich hatte doch gar keine URL genannt?
Wer in der Lage ist, Google zu bedienen, findet auch deine Starseite :wink:
Hat mich etwa 5s gekostet.

rok
Beiträge: 231
Registriert: 23.02.2006 16:58:28

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von rok » 22.03.2018 15:37:01

Hehe, du Fuchs!!
Der Chrome ruft tatsächlich die Elemente neu ab. Mein Safari macht das nicht.
Ich habe mir das jetzt mal genauer angesehen. Die Designerin hat hier 2 Slider verwendet. Es wird aber nur jeweils ein Bild genutzt. Klar, der Slider ruf dann alle paar Sekunden das Bild ab. Der Server schickt zwar ein 403 und es passiert nicht viel, aber Last wird ja dennoch unnötig erzeugt. Ich lasse das mal durch ein normales Bild austauschen. Das dürfte den Spuk auflösen lassen. Danke für deine Hilfe!!

DeletedUserReAsG

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von DeletedUserReAsG » 22.03.2018 16:30:42

OT: diese Hinweise hättest du aber auch schon lange haben können, hättest du die problematische Seite im Eingangsbeitrag verlinkt.

rok
Beiträge: 231
Registriert: 23.02.2006 16:58:28

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von rok » 22.03.2018 16:33:12

Ich wolte nicht unbedingt, dass ein Server, welcher unter Last leidet, nicht noch mehr Last bekommt. Sorry!
Ich verspreche dennoch Besserung! :hail:

DeletedUserReAsG

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von DeletedUserReAsG » 22.03.2018 16:46:55

Naja, wenn man mal etwas realistisch draufschaut: ein handelsüblicher kleinerer Webserver sollte schon in der Lage sein, 100 Seiten pro Sekunde auszuliefern. So viele User haben sich den Thread nun auch nicht angeschaut, so dass die Kiste von den drei zusätzlichen Aufrufen die Stunde wohl auch nicht nennenswert in die Knie gezwungen worden wäre ;)

rok
Beiträge: 231
Registriert: 23.02.2006 16:58:28

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von rok » 22.03.2018 16:54:28

Dabei hatte ich nicht an die User gedacht, welche hier im Forum unterwegs sind. Es gibt genug Idioten da draußen, welche gern mal URLs grabben oder sonstwas anstellen. Oder werden URLs für nicht User hier im Forum maskiert?

DeletedUserReAsG

Re: DOS auf Webserver vermeiden/vermindern

Beitrag von DeletedUserReAsG » 22.03.2018 17:48:45

Ich sag’s mal so: wenn du nicht willst, dass deine Seite öffentlich erreichbar/auffindbar ist, dann nimm sie halt einfach vom Netz. Ansonsten ist’s ja gerade der Sinn von Seiten, dass sie gefunden und aufgerufen werden.

Antworten