Sob ataque, qual fonte de URL de origem seria essa? [duplicado]

1

Estamos sob ataque há cerca de duas semanas e fizemos o máximo que pudemos para proteger nossos senhores. mod_reqtimeout está fazendo o trabalho agora, mas estou confuso com o que eles estão enganando

Eu encontrei este post Servidor sob ataque de DDOS - Como descobrir IPs? e correu

cut -f 2 -d '"' yourweblog.log|cut -f 2 -d ' '|sort|uniq -c|sort -nr|more

o resultado é estranho

548308 -
4517 /
31794 http://www.mysite.com/

o que é isso -?

A cauda do tráfego mostra centenas de

186.153.249.149 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
201.240.116.165 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
201.240.116.165 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
190.42.110.72 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
190.42.110.72 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
190.40.68.68 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
190.40.68.68 - - [12/Aug/2013:16:31:28 -0500] "-" 408 - "-" "-"
186.1.87.251 - - [12/Aug/2013:16:31:29 -0500] "-" 408 - "-" "-"
186.1.87.251 - - [12/Aug/2013:16:31:29 -0500] "-" 408 - "-" "-"
189.252.92.187 - - [12/Aug/2013:16:31:29 -0500] "-" 408 - "-" "-"
189.252.92.187 - - [12/Aug/2013:16:31:29 -0500] "-" 408 - "-" "-"

e 408 é mod_reqtimeout soltando-os

qualquer ajuda é apreciada

    
por Benn 12.08.2013 / 23:33

1 resposta

0

Você tem controle do servidor? Se assim for e você tem privilégios de root, eu sugiro ir uma camada abaixo do apache aqui e capturar o pacote da interface procurando por esses endereços IP.

tcpdump -n -A -s0 -i <interface> host 186.153.249.149 or host 201.240.116.165...

Assim como Como obter detalhes de solicitações http em um tcpdump

Você também pode gravar em um arquivo pcap com -W somefile.pcap com o sinalizador -W e, em seguida, abri-lo no wireshark ou em outro programa de inspeção de pacote. Nesse nível, você poderá ver a solicitação HTTP antes de chegar ao apache. Caso contrário, sugiro colar uma seção de amostra de seus registros para que possamos recomendar o filtro de texto correto. E os formatos de registro variam de acordo com a configuração.

O tcpdump tem muitas opções e tem uma curva de aprendizado difícil, mas é muito poderoso. Você pode obter um fluxo dos URLs solicitados enquanto eles acessam o servidor antes de serem entregues ao apache.

    
por 13.08.2013 / 00:46

Tags