Help
Estou tendo ataques em um dos sites hospedados no meu servidor que parece que nada pode conter. São requiscoes para uma mesma página. São tantas requisções que os usuários reais ficam impossibilidados de acessar, além de que o mysql começa a comer muita cpu.
Já instalei dos_evasive, ddos deflate e APF, mas nada parece dar conta.
Fazia tempo que eu nao tinha esses ataques. Antes meu dedicado era na liquidweb e estava sendo atacado. Depois que mudei para a 10tb, até ontem tive paz, porém ontem tudo começou novamente.
por enquanto a última solucao encontrada foi suspender o site em questão, que está sendo atacado.
o problema é se começarem a atacar outros sites do servidor.
são ataques de ips diferentes. Muitos deles, que não sei se algum firewall conseguiria detectar como ataque.
o que fazer?
Page 1 of 1
Ataque DDOS que parece que nada pode conter...
#2
- Se às mãos fazem errar -> yum remove hands -y
-
- Grupo: Membros
- Posts: 1165
- Cadastrado: 19-julho 07
- Gender:Male
- Interests:Gnu/Linux, Windows Server, PHP, Mysql, Postgres, Ajax, Flex e Café, soldat, Warcraft, Quake, Counter Strike, Cachorros, Surf e tomar muito, mas muito café!
Posted 20 julho 2009 - 11:50
CSF ---> instala o csf que vai resolver rapidinho! 
http://littleoak.wordpress.com/2009/04/21/...to-install-csf/
http://littleoak.wordpress.com/2009/04/21/...to-install-csf/
#3
- Super Membro
-
- Grupo: Membros
- Posts: 115
- Cadastrado: 01-julho 08
Posted 21 julho 2009 - 12:22
Já tenho o csf instalado também e não está resolvendo nada.
---------
andei testando o mod dos_evasive e parece que ele pode dar conta do problema, pelo tipo de ataque que é. Só que o benedito não quer funcionar certo nem a pau. Pq nao esta bloqueando o ip pela quantia de segundos setado em DOSBlockingPeriod.
testei. Fiquei dando reload da pagina até q apareceu o tal 403 forbiden. Só que basta dar um reload e abre denovo, entao nao ta bloqueando coisa nenhuma.
---------
andei testando o mod dos_evasive e parece que ele pode dar conta do problema, pelo tipo de ataque que é. Só que o benedito não quer funcionar certo nem a pau. Pq nao esta bloqueando o ip pela quantia de segundos setado em DOSBlockingPeriod.
testei. Fiquei dando reload da pagina até q apareceu o tal 403 forbiden. Só que basta dar um reload e abre denovo, entao nao ta bloqueando coisa nenhuma.
#4
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 381
- Cadastrado: 16-julho 08
- Gender:Male
- Location:Ribeirão Preto-SP
Posted 21 julho 2009 - 12:35
Para grande ataques DDoS a única solução viável é pedir para seu DC filtrar o seu tráfego com um firewall deles.
O problema é que por melhor que seja o firewall que você instale direto no seu servidor, se o DDoS é muito intendo ele satura o seu link ou faz o seu firewall consumir muita CPU.
Por isso a filtragem deve ser feita antes do trafego chegar no seu servidor. (via firewall do data center).
Bons negócios.
O problema é que por melhor que seja o firewall que você instale direto no seu servidor, se o DDoS é muito intendo ele satura o seu link ou faz o seu firewall consumir muita CPU.
Por isso a filtragem deve ser feita antes do trafego chegar no seu servidor. (via firewall do data center).
Bons negócios.
#5
- Super Membro
-
- Grupo: Membros
- Posts: 115
- Cadastrado: 01-julho 08
Posted 21 julho 2009 - 12:43
o ataque nao é tao forte pq basta desativar a conta atacada pronto, problema resolvido. O que acontece é q ta fazendo a cpu subir muito, tal pagina usa banco de dados.
#6
- Esse é irmão!!
-
- Grupo: Membros
- Posts: 381
- Cadastrado: 16-julho 08
- Gender:Male
- Location:Ribeirão Preto-SP
Posted 21 julho 2009 - 09:51
Desativando a conta, natuaralmente o ataque deixa de ter efeito já que o dominio atacado deixa de resolver para seu apache.
Acima de um certo limite de tráfego de DDoS, não há o que um firewall de software possa fazer. O próprio firewall de software fica congestionado e a sua largura de banda fica estreita.
Verifique se você atingiu esse limite (parece que sim já que você relatou que nenhum firewall de software seu deu conta até agora) e ai parta pra pedir ao DC seu que filtre seus IPs contra DDoS. Muitos DCs enconstam um firewall ou um proxy nos seus IPs e nem cobram por isso nesses casos emergenciais.
Bons negócios.
Acima de um certo limite de tráfego de DDoS, não há o que um firewall de software possa fazer. O próprio firewall de software fica congestionado e a sua largura de banda fica estreita.
Verifique se você atingiu esse limite (parece que sim já que você relatou que nenhum firewall de software seu deu conta até agora) e ai parta pra pedir ao DC seu que filtre seus IPs contra DDoS. Muitos DCs enconstam um firewall ou um proxy nos seus IPs e nem cobram por isso nesses casos emergenciais.
Bons negócios.
#7
- Se às mãos fazem errar -> yum remove hands -y
-
- Grupo: Membros
- Posts: 1165
- Cadastrado: 19-julho 07
- Gender:Male
- Interests:Gnu/Linux, Windows Server, PHP, Mysql, Postgres, Ajax, Flex e Café, soldat, Warcraft, Quake, Counter Strike, Cachorros, Surf e tomar muito, mas muito café!
Posted 21 julho 2009 - 01:36
Amigo:
CSF em modo Highsecurity (se tu Não envia muito email resolve!)
Mod_evasive muito enxuto!
Mod_Security on!
PHP em safe mode!
php operando em suphp!
Se o cara fizer estrago acima disso (solicite ao idc upgrade de banda para 1 tb de porta de rede)
Aumenta o tempo de ban em blacklist!
Pede firewall físico (100 reais / mês)!
Se não resolver VIRE HIPPIE!
CSF em modo Highsecurity (se tu Não envia muito email resolve!)
Mod_evasive muito enxuto!
Mod_Security on!
PHP em safe mode!
php operando em suphp!
Se o cara fizer estrago acima disso (solicite ao idc upgrade de banda para 1 tb de porta de rede)
Aumenta o tempo de ban em blacklist!
Pede firewall físico (100 reais / mês)!
Se não resolver VIRE HIPPIE!
This post has been edited by little_oak: 21 julho 2009 - 01:37
Share this topic:
Page 1 of 1