Angriffe auf Webserver - 1000e IPs

bombaldi

bombaldi

Grünschnabel
Hallo liebe Community,

Mein Webserver steht unter staendigen Floods, hier mal ein mod_status auszug:

666-0 8203 0/633/633 W 1.31 5 0 0.0 0.82 0.82 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
668-0 8205 0/564/564 W 1.14 0 0 0.0 0.71 0.71 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
674-0 8211 0/535/535 _ 1.46 0 4567 0.0 1.05 1.05 62.47.202.68 www.de.vhost.com GET / HTTP/1.1
675-0 12691 0/40/503 _ 0.01 0 15514 0.0 0.04 0.85 220.233.73.35 www.de.vhost.com GET / HTTP/1.1
676-0 8869 0/459/523 _ 0.67 5 15386 0.0 0.50 0.56 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
677-0 8214 0/516/516 _ 1.19 1 13255 0.0 0.79 0.79 99.240.135.199 www.de.vhost.com GET / HTTP/1.1
691-0 11006 0/76/550 W 0.05 13 0 0.0 0.08 0.58 91.90.113.8 www.de.vhost.com GET / HTTP/1.1
693-0 8230 0/519/519 _ 0.35 3 5899 0.0 0.67 0.67 91.90.113.8 www.de.vhost.com GET / HTTP/1.1
696-0 12695 0/50/483 W 0.05 7 0 0.0 0.06 1.18 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
698-0 12697 0/66/574 _ 0.01 2 15644 0.0 0.08 0.55 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
706-0 10632 0/120/543 _ 0.12 0 8864 0.0 0.14 0.80 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
708-0 8245 0/517/517 W 0.77 7 0 0.0 0.63 0.63 99.248.236.206 www.de.vhost.com GET / HTTP/1.1
709-0 9662 0/234/509 W 1.65 2 0 0.0 0.35 0.67 91.90.113.8 www.de.vhost.com GET / HTTP/1.1
713-0 11007 0/67/490 W 0.75 13 0 0.0 0.14 0.74 74.77.38.34 www.de.vhost.com GET / HTTP/1.1
716-0 9913 0/205/536 W 0.69 5 0 0.0 0.25 0.58 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
718-0 12700 0/55/638 _ 0.07 5 15725 0.0 0.06 0.96 82.74.234.145 www.de.vhost.com GET / HTTP/1.1
721-0 8258 0/492/492 W 2.24 3 0 0.0 0.78 0.78 99.240.135.199 www.de.vhost.com GET / HTTP/1.1
723-0 8260 0/491/491 W 1.42 3 0 0.0 0.68 0.68 78.29.226.161 www.de.vhost.com GET / HTTP/1.1
724-0 8261 0/539/539 W 0.52 12 0 0.0 0.61 0.61 99.240.135.199 www.de.vhost.com GET / HTTP/1.1
726-0 10633 0/120/507 _ 0.17 4 15260 0.0 0.12 0.61 83.55.48.221 www.de.vhost.com GET / HTTP/1.1
729-0 8266 0/534/534 W 1.61 4 0 0.0 0.80 0.80 82.74.234.145 www.de.vhost.com GET / HTTP/1.1
734-0 8271 0/451/451 _ 1.03 4 15116 0.0 0.66 0.66 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
735-0 8272 0/502/502 _ 1.25 5 15501 0.0 0.53 0.53 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
736-0 9463 0/310/534 W 0.42 3 0 0.0 0.46 0.87 146.87.193.4 www.de.vhost.com GET / HTTP/1.1
740-0 8914 0/425/538 _ 0.77 1 9624 0.0 0.50 0.70 129.177.138.109 www.de.vhost.com GET / HTTP/1.1
741-0 12703 0/65/590 W 0.03 9 0 0.0 0.08 0.73 74.77.38.34 www.de.vhost.com GET / HTTP/1.1
748-0 11008 0/113/524 W 0.90 9 0 0.0 0.27 0.68 99.240.135.199 www.de.vhost.com GET / HTTP/1.1
752-0 9558 0/280/561 W 1.24 6 0 0.0 0.41 0.69 78.29.226.161 www.de.vhost.com GET / HTTP/1.1
762-0 12709 0/37/499 _ 0.07 1 15855 0.0 0.05 0.68 86.134.75.219 www.de.vhost.com GET / HTTP/1.1
763-0 8300 0/610/610 W 1.16 1 0 0.0 0.76 0.76 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
766-0 8303 0/524/524 _ 1.47 1 6369 0.0 0.62 0.62 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
768-0 8305 0/521/521 W 0.78 5 0 0.0 0.79 0.79 91.90.113.8 www.de.vhost.com GET / HTTP/1.1
772-0 12711 0/51/491 W 0.22 0 0 0.0 0.06 0.50 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
775-0 9338 0/345/550 W 0.36 8 0 0.0 0.34 0.58 146.87.193.4 www.de.vhost.com GET / HTTP/1.1
781-0 8779 0/479/514 _ 1.53 4 15442 0.0 0.78 0.81 82.74.234.145 www.de.vhost.com GET / HTTP/1.1
783-0 8853 0/578/646 _ 0.58 2 15480 0.0 0.71 0.78 86.134.75.219 www.de.vhost.com GET / HTTP/1.1
784-0 9514 0/242/486 _ 2.81 3 13576 0.0 0.62 0.85 84.194.142.154 www.de.vhost.com GET / HTTP/1.1
786-0 12716 0/35/473 W 0.09 14 0 0.0 0.05 0.53 83.87.36.86 www.de.vhost.com GET / HTTP/1.1
789-0 8326 0/588/588 _ 1.32 3 15269 0.0 0.71 0.71 83.87.36.86 www.de.vhost.com GET / HTTP/1.1
801-0 9123 0/388/585 W 0.56 0 0 0.0 0.53 0.81 99.240.135.199 www.de.vhost.com GET / HTTP/1.1
809-0 8346 0/531/531 W 1.24 1 0 0.0 0.76 0.76 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
811-0 12718 0/61/505 W 0.06 11 0 0.0 0.07 0.71 84.194.142.154 www.de.vhost.com GET / HTTP/1.1
813-0 8350 0/525/525 W 0.49 1 0 0.0 0.58 0.58 91.96.114.54 www.de.vhost.com GET / HTTP/1.1
816-0 8353 0/548/548 _ 0.52 1 1627 0.0 0.66 0.66 91.90.113.8 www.de.vhost.com GET / HTTP/1.1
822-0 9670 0/235/519 _ 0.37 5 15544 0.0 0.25 0.67 83.55.48.221 www.de.vhost.com GET / HTTP/1.1
823-0 8360 0/476/476 W 1.08 4 0 0.0 0.71 0.71 77.185.27.90 www.de.vhost.com GET / HTTP/1.1
824-0 12721 0/27/537 W 0.69 10 0 0.0 0.10 0.85 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
827-0 9311 0/391/551 W 0.75 1 0 0.0 0.43 0.57 83.55.48.221 www.de.vhost.com GET / HTTP/1.1
839-0 8376 0/533/533 _ 0.98 2 15402 0.0 1.03 1.03 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
841-0 8378 0/567/567 W 1.34 2 0 0.0 0.68 0.68 74.77.38.34 www.de.vhost.com GET / HTTP/1.1
842-0 12724 0/67/539 W 0.74 5 0 0.0 0.16 0.63 99.248.236.206 www.de.vhost.com GET / HTTP/1.1
844-0 8381 0/506/506 W 2.40 8 0 0.0 0.81 0.81 78.29.226.161 www.de.vhost.com GET / HTTP/1.1
849-0 9663 0/254/497 W 1.24 4 0 0.0 0.49 0.73 84.194.142.154 www.de.vhost.com GET / HTTP/1.1
851-0 9312 0/339/545 _ 0.32 1 15454 0.0 0.32 0.52 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
855-0 8854 0/485/533 W 0.39 2 0 0.0 0.54 0.58 82.74.234.145 www.de.vhost.com GET / HTTP/1.1
858-0 9400 0/353/553 W 0.37 6 0 0.0 0.51 0.69 83.87.36.86 www.de.vhost.com GET / HTTP/1.1
859-0 8396 0/462/462 _ 0.67 1 15496 0.0 0.53 0.53 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
860-0 8861 0/466/523 W 1.00 13 0 0.0 0.62 0.67 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
864-0 12729 0/77/530 W 0.03 3 0 0.0 0.07 0.59 78.29.226.161 www.de.vhost.com GET / HTTP/1.1
865-0 9452 0/308/563 W 0.61 6 0 0.0 0.44 0.78 74.77.38.34 www.de.vhost.com GET / HTTP/1.1
867-0 8404 0/563/563 _ 0.72 0 7824 0.0 0.66 0.66 129.177.138.109 www.de.vhost.com GET / HTTP/1.1
869-0 9215 0/358/513 _ 0.49 0 6052 0.0 0.56 0.69 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
874-0 12732 0/50/567 W 0.02 0 0 0.0 0.06 0.80 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
876-0 8413 0/538/538 W 0.51 12 0 0.0 0.73 0.73 92.252.6.15 www.de.vhost.com GET / HTTP/1.1
880-0 8417 0/482/482 W 0.90 1 0 0.0 0.47 0.47 77.185.27.90 www.de.vhost.com GET / HTTP/1.1
885-0 8422 0/531/531 W 1.27 0 0 0.0 1.04 1.04 99.240.135.199 www.de.vhost.com GET / HTTP/1.1
894-0 8431 0/512/512 W 1.30 13 0 0.0 0.64 0.64 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
896-0 9244 0/335/474 W 1.01 13 0 0.0 0.58 0.76 99.240.135.199 www.de.vhost.com GET / HTTP/1.1
899-0 9947 0/186/510 W 0.38 1 0 0.0 0.28 0.57 129.177.138.109 www.de.vhost.com GET / HTTP/1.1
900-0 8437 0/475/475 _ 1.52 0 15525 0.0 0.68 0.68 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
910-0 12735 0/63/545 _ 0.10 1 15211 0.0 0.17 0.88 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
911-0 12736 0/52/555 _ 0.10 3 5712 0.0 0.11 0.74 77.185.27.90 www.de.vhost.com GET / HTTP/1.1
912-0 9388 0/334/513 _ 0.54 0 14146 0.0 0.42 0.57 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
914-0 8451 0/531/531 _ 1.32 2 15728 0.0 0.86 0.86 129.177.138.109 www.de.vhost.com GET / HTTP/1.1
915-0 8452 0/518/518 W 1.52 3 0 0.0 0.95 0.95 146.87.193.4 www.de.vhost.com GET / HTTP/1.1
916-0 10320 0/150/533 W 0.09 9 0 0.0 0.17 0.53 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
917-0 8454 0/572/572 _ 2.07 0 1490 0.0 1.13 1.13 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
920-0 8980 0/431/553 _ 1.01 0 15521 0.0 0.54 0.64 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
922-0 8459 0/522/522 W 1.46 11 0 0.0 0.89 0.89 91.96.114.54 www.de.vhost.com GET / HTTP/1.1
927-0 8464 0/521/521 _ 0.59 1 6354 0.0 0.62 0.62 62.47.202.68 www.de.vhost.com GET / HTTP/1.1
929-0 8466 0/533/533 _ 0.50 0 10656 0.0 0.86 0.86 82.74.234.145 www.de.vhost.com GET / HTTP/1.1
947-0 8484 0/486/486 W 0.65 4 0 0.0 0.68 0.68 91.90.113.8 www.de.vhost.com GET / HTTP/1.1
950-0 8487 0/525/525 W 1.31 6 0 0.0 0.58 0.58 82.74.234.145 www.de.vhost.com GET / HTTP/1.1
955-0 9110 0/419/570 W 1.41 1 0 0.0 0.82 1.20 91.90.113.8 www.de.vhost.com GET / HTTP/1.1
959-0 8856 0/513/567 _ 2.42 0 4345 0.0 0.69 0.74 146.87.193.4 www.de.vhost.com GET / HTTP/1.1
971-0 8508 0/510/510 W 0.56 6 0 0.0 0.60 0.60 82.201.169.77 www.de.vhost.com GET / HTTP/1.1
987-0 8524 0/510/510 W 0.33 4 0 0.0 0.47 0.47 78.29.226.161 www.de.vhost.com GET / HTTP/1.1
990-0 8527 0/521/521 _ 1.11 1 15287 0.0 0.60 0.60 74.77.38.34 www.de.vhost.com GET / HTTP/1.1
992-0 - 0/0/475 . 1.50 265 5462 0.0 0.00 0.56 82.3.119.212 www.de.vhost.com GET / HTTP/1.1
995-0 8532 0/489/489 W 0.96 0 0 0.0 0.82 0.82 84.194.142.154 www.de.vhost.com GET / HTTP/1.1
996-0 10312 0/166/544 W 0.16 11 0 0.0 0.23 0.63 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
997-0 9533 0/257/545 W 1.81 6 0 0.0 0.65 0.92 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
999-0 8536 0/567/567 _ 1.24 4 15593 0.0 0.72 0.72 99.240.135.199 www.de.vhost.com GET / HTTP/1.1
1000-0 8537 0/537/537 _ 1.66 0 12393 0.0 0.76 0.76 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
1003-0 8540 0/504/504 W 0.22 0 0 0.0 0.47 0.47 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
1011-0 8548 0/500/500 _ 0.89 5 10757 0.0 0.62 0.62 83.87.36.86 www.de.vhost.com GET / HTTP/1.1
1015-0 - 0/0/468 . 0.97 243 6758 0.0 0.00 0.68 78.29.226.161 www.de.vhost.com GET / HTTP/1.1
1016-0 9234 0/356/527 _ 1.15 0 284 0.0 0.46 0.63 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
1022-0 12768 0/48/492 _ 0.03 0 15315 0.0 0.05 0.57 129.177.138.109 www.de.vhost.com GET / HTTP/1.1
1023-0 12769 0/50/495 W 0.11 7 0 0.0 0.07 0.56 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
1025-0 8562 0/540/540 W 0.85 5 0 0.0 0.67 0.67 77.185.27.90 www.de.vhost.com GET / HTTP/1.1
1027-0 8857 0/513/562 _ 0.49 3 11107 0.0 0.60 0.63 78.29.226.161 www.de.vhost.com GET / HTTP/1.1
1044-0 12772 0/51/493 W 0.02 12 0 0.0 0.09 0.57 82.74.234.145 www.de.vhost.com GET / HTTP/1.1
1048-0 9593 0/258/544 _ 0.72 1 6272 0.0 0.25 0.51 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
1051-0 8613 0/552/552 W 2.01 4 0 0.0 0.79 0.79 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
1053-0 8858 0/474/542 W 1.55 13 0 0.0 0.63 0.75 78.30.131.71 www.de.vhost.com GET / HTTP/1.1
1062-0 11015 0/81/473 _ 0.17 0 15142 0.0 0.19 0.62 91.90.113.8 www.de.vhost.com GET / HTTP/1.1
1068-0 8631 0/523/523 _ 1.19 2 15225 0.0 0.79 0.79 90.203.127.112 www.de.vhost.com GET / HTTP/1.1
1070-0 12777 0/60/460 W 0.05 6 0 0.0 0.07 0.55 62.47.202.68 www.de.vhost.com GET / HTTP/1.1
1073-0 12780 0/45/502 _ 0.02 0 14674 0.0 0.05 0.98 87.202.127.201 www.de.vhost.com GET / HTTP/1.1
1076-0 8645 0/473/473 W 0.35 4 0 0.0 0.59 0.59 81.168.237.173 www.de.vhost.com GET / HTTP/1.1
1078-0 - 0/0/462 . 0.58 271 3915 0.0 0.00 0.72 24.17.207.201 www.de.vhost.com GET / HTTP/1.1
1081-0 11018 0/70/525 W 0.32 8 0 0.0 0.16 0.62 77.185.27.90 www.de.vhost.com GET / HTTP/1.1
1082-0 8651 0/558/558 W 2.06 2 0 0.0 0.88 0.88 62.47.202.68 www.de.vhost.com GET / HTTP/1.1
1083-0 8652 0/512/512 _ 0.94 1 15063 0.0 0.61 0.61 86.134.75.219 www.de.vhost.com GET / HTTP/1.1
1088-0 9097 0/338/475 W 0.75 4 0 0.0 0.38 0.58 129.177.138.109 www.de.vhost.com GET / HTTP/1.1
1090-0 10322 0/148/557 W 0.43 1 0 0.0 0.18 0.81 74.77.38.34 www.de.vhost.com GET / HTTP/1.1
1091-0 8660 0/493/493 _ 0.50 0 664 0.0 0.60 0.60 83.87.36.86 www.de.vhost.com GET / HTTP/1.1
1097-0 8666 0/579/579 W 0.53 2 0 0.0 0.61 0.61 89.123.236.226 www.de.vhost.com GET / HTTP/1.1
1098-0 8667 0/547/547 W 1.74 3 0 0.0 0.90 0.90 83.87.36.86 www.de.vhost.com GET / HTTP/1.1
1099-0 8668 0/538/538 W 0.68 2 0 0.0 0.71 0.71 84.194.142.154 www.de.vhost.com GET / HTTP/1.1

Es waren ca. 700 unterschiedliche IPs, Ich habe jetzt folgendes gemacht: mod_status ausgabe mittels grep und awk geparsed und einfach mal alle IPs mit iptables gedroppt, zusaetzlich ein Script geschrieben welches gnadenlos alles bannt was mehr als 60 gleichzeitige Connections macht, dazu noch mod_cband und mod_evasive.

Allerdings hilft das sicherlich nur temporaer, ich brauche einen Weg das ganze Automatisch zu machen, habe aber keine vernuenfitge Idee fuer einen Loesungsansatz und hoffe hier kann mir geholfen werden....

Sowas wie mod_status fuer die console wuerde mir z.b. helfen, also wenn ich die entsprechenden IPs rausparsen kann.
Man koennte ja alle 10 sekunden die Ausgabe pruefen lassen und wenn dort eine IP des Vhosts "xyz" auffaellig wird also zb in 5minuten mehr als 200 requests gemacht hat wird sie an Iptables uebergeben...

Naja, hoffe mal euch faellt etwas besseres ein :)

Ein paar vernuenftige Iptable rules koennten evtl natuerlich auch helfen, allerdings lassen sich diese " get http 1.1 / " Requests ja schlecht von normalen Browseranfragen unterscheiden :(

Danke
Tom
 
Mit mod_security im Apache lässt sich auch einiges abfangen.
 
Sorry, aber faellt euch nichts besseres ein? Das hilft mir leider nicht iwrklich, ich habe mehr auf so sinnvolle Tipps wie Anzahl der gleichzeitigen Verbindungen mit Iptables beschraenken gehofft...

Man sieht doch eigentlich deutlihc um welche Art von flood es sich handelt, normale HTTP requests, die wird man doch wohl auch irgendwie effektiv blocken / einschraenken koennen?
 
Wenn es dir nur um reinen Schutz vor GET-Floods geht, dann schau dir halt mod_evasive anstatt mod_security an. Wärst du aber auch drauf gestossen, wenn du dir mal nur ein paar Grundinformationen zu mod_security geholt hättest, bevor du hier rumzickst. Wir sind hier schliesslich keine personalisierte Suchmaschine. :rolleyes:

Das Apache Modul mod_evasive soll den Apachen gegen DDos-Angriffe schützen.
mod_evasive legt die IP-Adresse des anfragenden Clients in einer internen Hash-Tabelle ab, und zählt, wie oft dasselbe Objekt innerhalb einer definierten Zeitspanne angefordert wird.
Wenn die Anzahl der Aufrufe einen bestimmten Grenzwert erreicht, erhält der Client eine 403 Fehlermeldung.
 
Um bitchmuncher's beitrag das i I-Tüpfelchen zu verpassen könntest du noch squid vor apache schalten. Das erhöht nicht nur die Leistung sondern kannst dann noch genauer verfeinern nach wie vielen Request's was getan werden soll.
 

Ähnliche Themen

Rollei Mini Wifi Camcorder

Displayport + externer Monitor zeigt bei startx nichts erst bei DVI

NagiosGrapher 1.7.1 funktioniert nicht

Ubuntu X / dbus problem

HP PSC 2175 - CUPS druckt nicht

Zurück
Oben