como combater ataques no meu serviço da web

Navegue suas respostas
2

Meu webservice do apache está recebendo uma grande quantidade de solicitações ao longo dos dias, cada uma com um login aleatório para obter acesso.
Eu identifiquei cerca de 60 desses ips (alguns exemplos abaixo), todos pertencem ao google. Existe uma maneira de encontrar mais informações sobre a origem do invasor? ou devo apenas bloquear esses ips. em segundo lugar, devo tentar bloquear as sub-redes ips identificadas (74.125.46. *) como medida preventiva? 

72.14.194.65
64.233.172.20
74.125.75.19
72.14.194.33
74.125.46.87
74.125.44.91
74.125.46.91
    
por user12145 12.02.2011 / 04:56

4 respostas

3

Você pode salvar-se contra esses ataques DOS por limitação de taxa IPTABLE.
link
diferente do que o fail2ban é mais um script que pode ajudá-lo, até certo ponto, no link

    
por 12.02.2011 / 05:54
3

Ao suspeitar de um ataque ao seu site, a primeira pergunta que você deve fazer é: ele é realmente intencionalmente malicioso? No seu caso, considere a possibilidade de que um webspider mal direcionado possa acioná-los. Você tem um robots.txt no lugar?

Você deu uma olhada no User-Agent? Os pedidos provenientes do Google devem identificar como qualquer serviço está tentando acessar seu site. As strings do User-Agent da Spider geralmente contêm um URL que contém mais informações sobre elas.

    
por 12.02.2011 / 07:51
1

Se esses forem todos os IPs aleatórios em intervalos aleatórios, é mais provável que seja uma botnet que decidiu atacar seu site, não as pessoas. Então bloqueá-los poderia bloquear algumas pessoas legítimas. E o que acontece quando o IP é transferido?

Você deve realmente resolver isso com proteção de força bruta padrão para logins. Por exemplo, apenas 10 tentativas em 10 minutos, com algum tempo por volta de 3 a 5, exigindo a resposta a um captcha. Desta forma, os bots irão parar eventualmente, uma vez que eles nunca poderão entrar.

A única vez que eu recorria a uma proibição de IP é quando um IP está fazendo tantas solicitações que isso afeta o desempenho ou consome uma considerável largura de banda. Só então os benefícios superam a inconveniência de quem tem esse IP.

    
por 12.02.2011 / 05:35
0

Provavelmente, são contra a porta 80 ou 443 - e são "google-bot". Existem algumas coisas que você pode fazer - uma usando mod_bandwidth e limitando um usuário outro está configurando um arquivo robots.txt -

Recentemente, começamos a usar o Cloud Firewall, que foi um enorme sucesso - na verdade, para o site GroundHog - que cresceu de pouco menos de 30 hits por dia para 2,2 milhões no Ground Hog Day - 300K por hora @ alguns pontos no tempo

Pode valer a pena espreitar @ se isso ajudar você - eles têm uma versão gratuita e uma versão paga - no entanto, o FREE funcionou muito bem para essa quantidade de tráfego - é chamado Cloud Flare.

As outras sugestões aqui são boas.

  1. mod_Bandwidth
  2. Firewall
  3. Detecção de força bruta

Espero que ajude você um pouco.

    
por 13.02.2011 / 12:13

Tags

O Amazon EC2 integra-se ao Amazon S3? O arquivo de log do SQL Server 2005 está ficando muito grande