Angriff auf meinen Apache

[flipper]

Hallo,

also ich bin neu hier und sag einfach nochmal Hallo an alle :-D.
Damit ihr nicht so viel lesen müsst kommen wir am besten gleich zu meinem Problem:
Ich habe normalerweise 50-100MB Traffic am Tag. Also reichen meine 5GB, die ich auf meinem vServer hab, locker aus. Ich habe eine Shutdown-Sperre bei 5GB eingerichtet, so dass ich nicht von unerwarteten Kosten überrascht werde.
Nun ist mein vServer ausgegangen, da der Traffic vor einer Stunde auf 3GB in ca. 5 Minuten anstieg.
Die Ursache war schnell gefunden. Mehrere Rechner aus Polen, Tschechien, Ungarn, Russland, Amerika, Deutschland, Japan, Holland, Türkei etc. haben einfach alle Bilder die ich auf meinem Apache habe runtergeladen. Und dann kommt man schon auf so einiges an MB.
Den httpd (Apache 2.0.52) habe ich jetzt natürlich mit allen anderen Diensten ausser qmail ausgemacht um nicht zu viel Traffic zu verursachen. Darf ja jetzt schon den Ã?bertraffic zahlen. Nun die zwei Fragen: Wie kann ich mich in Zukunft vor so nem Schund schützen und wer zum Teufel macht so nen Scheiss (eher nebensächlich )?

[outofbound]

Kurzfristige Tipps:

a) Hackin9- Magazin kaufen, da stehen immer wieder Standardattacken drin,
letztes mal DoS via HTTP.... köönte dir bekannt vorkommen. ;)

b) Apache umkonfigurieren oder Skripte bauen, die nur X Reloads
pro Sekunde erlauben. (Generell + IP gebunden)

c) SCNR: Keine Script- Kiddies anpissen.


Gruss,

Out

[flipper]

Danke für die Antwort!
Ja das mit dem Apache umkonfigurieren ist ne gute Idee.
Kann man das direkt in der httpd.conf machen. Das Problem ist allerdings, dass es eigentlich nicht viel mit Reloads zu tun hat. Viele IP Adressen haben jedes Bild einfach 1 Mal runtergeladen und bei ca. 100MB an Bildern ist das ne gute Menge bei 20 IPs...

[outofbound]

Nuja,

ich weiss jetzt nicht genau in welchem Magazin das stand, aber es dürfte nicht
schwierig sein, das selbst zu implementieren (Ich will nicht lügen, ich glaub das
war das PHP Magazin):

a) Nur bestimmte Anzahl an Abrufen (per Sekunde) generell erlauben.
b) Nur bestimmte Anzahl an Abrufen (per Sekunde und IP) generell erlauben.
c) Referer checken
d) Session checken vor Auslieferung (Wenn man ne Session hat)

Viel mehr wirst du aber nicht mehr machen können, und diese Checks
gehen natürlich auch auf die Performance des Rechners...

[flipper]

Ok danke. Das ist schonmal besser als garnichts.
Ich werde noch ein bisschen nachforschen und die Sachen die du vorgeschlagen hast einbauen.

[captaincrunch]

Ã?hm...wie wär's denn mit mod_throotle?

[Roger Wilco]

Ã?hm...wie wär's denn mit mod_throotle?

Gibt es mod_throttle inzwischen etwa auch für Apache 2.x? Das wäre ja was ganz was feines....

[andreask2]

AFAIK nicht - http://modules.apache.org/

[kostya]

Man könnte auch damit versuchen http://www.nuclearelephant.com/projects/dosevasive/ .

[flipper]

ich kann natürlich auch auf den alten apache umsteigen... ist vielleicht wohl auch die bessere lösung wenn es dieses feine modul gibt.

[derfalk]

Hallo,
...Ich habe eine Shutdown-Sperre bei 5GB eingerichtet, so dass ich nicht von unerwarteten Kosten überrascht werde.
Nun ist mein vServer ausgegangen, da der Traffic vor einer Stunde auf 3GB in ca. 5 Minuten anstieg...

Wo und wie haste das eingestellt?

[flipper]

Bietet mein Provider im Webinterface an.