Um ataque DDoS pode me impedir de entrar no meu servidor?

2

Um ataque DDoS pode me impedir de entrar no meu servidor?

Meu chefe diz que não, portanto, deve haver algo errado com o servidor. No entanto, estamos sendo botted por 4-5 bots diferentes, mesmo com robots.txt e .htaccess reescrevem.

Meu cara do PHP acredita que os bots e eu tendemos a concordar, mas é possível que um ataque me impeça de ssh em meu servidor?

    
por Rick 07.11.2013 / 20:47

4 respostas

12

Absolutamente sim, porque um ataque DDoS é projetado para sobrecarregar os recursos do servidor. O que significa que sua média de carga dispara & sua memória é maximizada ao ponto de trocar para o disco. E não precisa ser apenas um ataque à porta 22. Consegui vários servidores da Web que se tornaram inacessíveis devido ao cenário que descrevi acima.

A melhor solução para um problema como esse é fazer o login por meio de um console remoto mais próximo da máquina do que via SSH. Como nas configurações de servidores em nuvem, onde você tem a opção de iniciar um terminal baseado em Java. Mas isso - é claro - é baseado em você ter acesso assim.

A outra alternativa é esperar dolorosamente que a conexão SSH aconteça enquanto seu servidor está sendo DDoS'ed. Às vezes funciona. Mas às vezes eu tenho que abrir um punhado de janelas e ver qual delas é o primeiro.

EDITAR: E se você quiser detectar proativamente se seu sistema está usando recursos, recomendo usar Monit . Eu uso um script como este na Monit, que faz duas coisas além de enviar e-mails quando algo acontece. Um deles detecta se o seu servidor web está inacessível (aka: down) e automaticamente o reinicia. Mas para você talvez a área loadavg faça mais sentido. Eu tenho isso definido para 7 aqui & ele tenta reiniciar o servidor para liberar conexões & tente recuperá-lo no controle se a média da carga estiver consistentemente em 7 ou acima. Fazer coisas como usar o Monit garante que você tenha um melhor controle sobre um DDoS quando isso acontecer.

check process apache with pidfile /var/run/apache2.pid
        start "/etc/init.d/apache2 start"
        stop  "/etc/init.d/apache2 stop"
        if failed host 127.0.0.1 port 80
                with timeout 15 seconds
        then restart
        if loadavg (1min) greater than 7
                for 5 cycles
        then restart
        alert [email protected] only on { timeout, nonexist, resource }
    
por 07.11.2013 / 21:13
0

Sim, mas também há outras causas.

Suponho que você excluiu o iowait primeiro, então minha próxima sugestão seria fazer uma captura de pacote do seu tráfego de DNS e certificar-se de que as pesquisas reversas de DNS estão funcionando corretamente. Em cenários extremos, é possível que as falhas de DNS façam com que o processo de login aconteça mesmo que a autenticação tenha sucesso . (claro, se UseDNS no for definido em sshd_config , isso é completamente discutível)

Como os outros enfatizaram nos comentários, é importante que você nos forneça sua pesquisa para saber por que você acha que um DDoS é responsável por seu bloqueio. Pode haver muitas causas possíveis para esse problema, por isso é importante não saltar para nenhuma conclusão.

    
por 08.11.2013 / 00:40
0

De alguém que foi vítima de ataques DDOS e trabalhou na indústria de hospedagem e tem IPs de vítima roteados nulos, sim, um DDOS pode derrubar todo o servidor e quaisquer serviços que ele forneça, bem como um serviço mal projetado rede e todos os servidores dessa rede.

É verdade que os bots também podem derrubar o servidor; É por isso que você vai querer configurar um bom robots.txt com um crawl-delay para reduzir a muitas vezes os bots rastreiam o site (alguns bots ignoram o crawl-delay e só precisam ser bloqueados; o Baidu, por exemplo, ignora o crawl-delay mesmo admitindo que eles não o ignorem em seu site).

Você pode bloquear bots maliciosos com RewriteRule s dentro de um arquivo .htaccess . Um exemplo de bloqueio do Baidu está abaixo:

RewriteCond %{HTTP_USER_AGENT} Baiduspider/2\.0
RewriteRule ^.* - [R=404,L]
    
por 08.11.2013 / 00:52
-8

Sim, mas se e somente se o invasor estiver atacando sua porta SSH (por padrão, 22), o que sobrecarregaria as conexões com essa porta e não permitiria nenhuma conexão SSH até que o ataque parasse.

    
por 07.11.2013 / 21:06