मुझे पूरा यकीन है कि मैं स्लोवरलिस हमले के तहत था। मैंने अपने वेबसर्वर के लिए अधिकतम कनेक्शन को सीमित करने के लिए एक iptables नियम स्थापित किया है, लेकिन मैं जानना चाहूंगा कि मैं यह कैसे पता लगा सकता हूं कि क्या यह वास्तव में एक स्लोवरिस हमला था, और यदि हां, तो मैं हमलावर का आईपी पता कैसे पा सकता हूं। मैं वास्तव में उसके आईएसपी पर लॉग को पास करना चाहूंगा।
धन्यवाद
जवाबों:
धीमी गति से किए गए अनुरोध डेटा को भेजकर स्लोवरिस हमले काम करते हैं। इसलिए, यदि आप प्रति आईपी पते पर बैंडविड्थ उपयोग को माप सकते हैं, तो यदि यह कुछ सीमा से नीचे है, (ज्ञात धीमी गति से हमले में बैंडविड्थ को मापने के द्वारा पाया जाता है) तो आप जानते हैं कि आप हमले में हैं।
हमलों को रोकने के लिए, मैं आपके वेबसर्वर सॉफ़्टवेयर को स्विच करने का सुझाव दूंगा। मैं चेरोकी का उपयोग करता हूं जो डिफ़ॉल्ट कॉन्फ़िगरेशन में प्रतिरोधी है। मैं यह पता नहीं लगा सकता कि क्या नगनेक्स असुरक्षित है, लेकिन लाइटटैप है। मैं यह भी सुनिश्चित नहीं कर सकता कि प्रॉक्सी के रूप में एक प्रतिरोधी वेबसर्वर का उपयोग करने से कोई फर्क पड़ेगा।
यहाँ अधिक जानकारी है: http://ha.ckers.org/blog/20090617/slowloris-http-dos/
लेवल 1: सरल स्लोलेरिस डीओएस
धीमे हमलावर के आईपी पते को खोजने के लिए मैं निम्नलिखित कमांड लाइन का उपयोग करता हूं:
netstat -ntu -4 -6 | awk '/^tcp/{ print $5 }' | sed -r 's/:[0-9]+$//' | sort | uniq -c | sort -n
यह आपको प्रत्येक जुड़े आईपी के लिए सक्रिय कनेक्शन की संख्या देगा
यदि आप एक साधारण डॉस हमले के तहत हैं, तो एक या कुछ आईपी के साथ एक किडी, 50-100 कनेक्शन (या अधिक) के साथ एक सबसे शायद एक स्लोडोरिस हमलावर है जिसे आप छोड़ सकते हैं।
यह पता लगाने और छोड़ने के लिए (iptables या अपने पसंदीदा hlfw के साथ) उन्हें "वास्तविक समय" है यदि आप हमले के दौरान सर्वर पर जुड़े हुए हैं।
आपके अपाचे लॉग्स में प्रोसेसिंग टाइम (% D या% T तर्क) को जोड़ने से लॉग्स का विश्लेषण करके भी धीरे-धीरे होने वाले "पोस्टमॉर्टम" का पता लगाने में मदद मिल सकती है, अगर आपके पास यह जानकारी आपके लॉग में नहीं है, तो आप दिलचस्प नहीं पाएंगे। । देखलॉग कॉन्फ़िगरेशन के लिए http://httpd.apache.org/docs/current/mod/mod_log_config.html ।
लेवल 2: असली बड़ी धीमी गति से डीडीओएस
netstat (रिफ्रेश के लिए वॉच नेटस्टैट का उपयोग करें) अभी भी आपको यह देखने में मदद कर सकता है कि कुछ IP हमेशा जुड़े रहते हैं
धीमी गति से लड़ने के लिए, अपाचे पर, रिक्माउट मॉड्यूल स्थापित करें और इसे सेट करें, उदाहरण:
उसके बाद, आप हर 408 में देख सकते हैं access_log 99.999% यकीन है कि एक धीमी गति से हमलावर आईपी है।
रीकाटआउट अपाचे मॉड्यूल का उपयोग करके, आप आसानी से हजारों ips और हजारों पैकेट / सेकेंड के लिए एक सभ्य समर्पित सर्वर के खिलाफ खड़े हो सकते हैं
Iptables भी कुछ मदद कर सकता है जैसे:
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j DROP