DoS Ataque da China e outros países suspeitos

1

Meu site está sob ataque. Nos últimos 2 dias eu identifiquei e bloqueei ~ 20 IPs especialmente da China (e Taiwan, Malásia, Egito, Irlanda, Espanha e Rússia)

Estes são alguns dos 20 ips:

95.74.78.55
222.124.156.230
113.108.166.57
125.41.130.120
115.64.76.208
210.5.147.148
117.139.54.192
118.100.12.250
58.251.109.127
61.50.164.157
217.217.131.108
41.236.224.217
151.82.45.148

Existe uma maneira de entender por que isso está acontecendo e quem sabe quem é o mandador?

Adicionar

Estes ip estão solicitando o mesmo arquivo milhares de tempo / minuto. Eu bloqueio um IP depois que ele fez os 250 pedidos.

    
por dynamic 21.05.2011 / 11:34

5 respostas

3

Se é realmente um ataque DoS distribuído (Como você sabe? Se houver apenas tentativas de conexão, simplesmente poderia ser malware ...), ele normalmente é executado por meio de um botnet - computadores trojanizados e explorados por pessoas desconhecidas são controlados por algum terceiro. Há pouca chance de descobrir quem está por trás disso, mas se você tiver mais evidências, um impacto maior sobre a disponibilidade do seu site e talvez uma carta de chantagem, você deve encaminhar os dados para a polícia.

    
por 21.05.2011 / 12:20
2

Está acontecendo porque você tem um sistema conectado à internet. Pode haver outras causas, claro, para por que você em particular agora , mas você tem que entender que lidar com esse tipo de coisa é simplesmente parte do custo de ter uma presença online.

Como você está determinando que eles estão atacando você? Qual a forma que o ataque toma? No momento, você não nos deu nenhuma informação para ajudá-lo a descobrir se você tem um problema específico.

    
por 21.05.2011 / 13:18
1

Continue bloqueando os endereços IP como você já está fazendo. Parece-me que o atacante que segmenta seu site tem recursos bastante limitados (20 IPs são muito pequenos). Seu site pode ser um alvo deliberado ou pode ser um alvo aleatório escolhido para testar os recursos DoS de sua pequena rede de bots ou shells. O ataque provavelmente não durará muito tempo, especialmente se eles perceberem que não é eficaz.

    
por 21.05.2011 / 15:18
1

Você também pode simplesmente bloquear faixas inteiras de IPs se não tiver ninguém na China, ou taiwan tiver algum negócio com (por exemplo, não um blog, mas um site da empresa que não faz negócios na china ou na rússia). Apesar de não impedir um ataque completo de botnet, isso deve ajudar a tirar um pouco a pressão

    
por 21.05.2011 / 20:48
1

Basta bloquear a sub-rede da China com o iptables

    
por 21.05.2011 / 22:44

Tags