Como identificar o ataque DDoS? [fechadas]

1

Estou experimentando saltos intermitentes e muito estranhos na carga do servidor que geralmente terminam no servidor não disponível. Servidor executa um site de tráfego muito alto no Wordpress, Apache, MySQL. Existe um plugin (hypercache) instalado que minimiza o uso do mysql armazenando em cache páginas inteiras. No entanto, toda vez que ocorre um pico de carga, o mysql se torna indisponível. A média de carga salta de 2 a 30-40 durante esse tempo e o apache parece estar lidando com muitos pedidos (eu vi na mensagem de arquivo de log sobre MaxClients sendo atingido).

Minha pergunta é: como eu sei se isso é um tráfego legítimo ou se é um ataque DoS? Se é DoS, como faço para determinar que tipo de ataque é e me protejo contra isso?

O servidor roda o FreeBSD 7, o Apache 2.2, o MySQL 5.1

    
por Alex N 07.10.2010 / 16:10

2 respostas

1

Notamos um fenômeno semelhante e, se você ativar o módulo de status do servidor do Apache, poderá ver o que está acontecendo. Para nós, isso é causado por scanners procurando por instalações do phpMyAdmin para explorar. Por causa da maneira como o WordPress processa todas as solicitações, a carga dispara rapidamente. WP Super Cache para WordPress faz uma enorme diferença. Eu também criei algumas regras globais do RedirectMatch que interceptam a maioria dessas solicitações do scanner antes de acessar qualquer site baseado em PHP / MySQL.

    
por 13.10.2010 / 19:36
1

Você pode ver o que o tráfego chega ao seu servidor instalando o TrafShow das portas do FreeBSD. Muito parecido com o ps ax, mas você vê fluxos de tráfego em vez de IDs de processo.

    
por 03.11.2010 / 12:30