Apache-Reading-Attacke - Schon 5 Tage
Posted: 2004-11-28 15:47
Hallo,
wir haben hier ein Problem auf einem Kundenserver.
Die Historie:
Es begann damit, dass die Webseite am Donnerstag kaum noch erreichbar war. Die Ursache war schnell festgestellt:
Im Apache Status stand alles auf Reading und netstat lieferte hunderte Verbindungen von einer fiktiven IP.
So weit so gut.
Die IP haben wir ausgesperrt. Wenige Minuten später wurde diese aber gewechselt, so dass wir diese und die folgenden 10 immer wieder ausgesperrt haben.
Als nächstes hat sich unser "Besucher" angepasst und von ca. 15 IP's losgelegt. Wir haben daraufhin Syn-Cookies aktiviert (hoffe, ich habes das richtig geschrieben).
Seit Freitag Mittag hat er es also immer wieder versucht, den Server in die Knie zu zwingen.
Nun ist es Sonntag. Der Kerl hat einen Zahn zugelegt. Den Server erreichen nun jede Minute tausende von Anfragen von UNTERSCHIEDLICHEN IP's, die natürlich nicht aktiv sind.
Nach diversem Googeln habe ich noch ein paar Artikel z.B. bei Heise gefunden, die meist damit enden:
"Mit diesen Methoden kann ein Angriff stark erschwert werden. Einen kompletten Schutz stellt jedoch auch dieses Verfahren bei entsprechendem Aufwand nicht dar, wenn der Angreifer entsprechende Recourcen zur Verfügung hat (z.B. über ein Botnetz)"
Nun stellt sich die Frage, was wir weiter tun können. Da die IP's aus den unterschiedlichen Netzen kommen, haben wir da kaum eine Chance. Problematisch ist einfach, dass die Anfragen aufgrund Ihrer Vielfzahl und unterschiedlichen Herkunft kaum noch von normalen Requests unterschieden werden können.
Ungewöhnlich ist die Ausdauer von dem Kerl. Nun schon 5 Tage.
Zwei Dinge würden wir gerne tun:
1. Die Attacke so weit ausbremsen, dass der Server nicht mehr so stark belastet wird und die Besucher auch Webseiten erhalten.
2. Den Kerl finden und vor den Kadi ziehen! Der Schaden ist, wie man sich vorstellen kann, inzwischen beträchlich.
Kurz zum System:
Ein Debian 2.4 (2.6 klappt leider nicht mit dem Raid) sowie Apache 1.3...
Das ganze läuft auf einem Dual-Xeon 2,8 GHZ-System mit 4 GB Ram
Bei der Konfig wundert es mich, dass er es wirklich schafft, die 600 Slots des Apache dicht zu bekommen, da die Firewall die Verbindungen nach spätestens 3 Sekunden sperrt und die IP blockt.
Für Hilfen, Anregungen und Quellen zu weiteren Infos wäre ich sehr dankbar.
Bye,
Sebastian
wir haben hier ein Problem auf einem Kundenserver.
Die Historie:
Es begann damit, dass die Webseite am Donnerstag kaum noch erreichbar war. Die Ursache war schnell festgestellt:
Im Apache Status stand alles auf Reading und netstat lieferte hunderte Verbindungen von einer fiktiven IP.
So weit so gut.
Die IP haben wir ausgesperrt. Wenige Minuten später wurde diese aber gewechselt, so dass wir diese und die folgenden 10 immer wieder ausgesperrt haben.
Als nächstes hat sich unser "Besucher" angepasst und von ca. 15 IP's losgelegt. Wir haben daraufhin Syn-Cookies aktiviert (hoffe, ich habes das richtig geschrieben).
Seit Freitag Mittag hat er es also immer wieder versucht, den Server in die Knie zu zwingen.
Nun ist es Sonntag. Der Kerl hat einen Zahn zugelegt. Den Server erreichen nun jede Minute tausende von Anfragen von UNTERSCHIEDLICHEN IP's, die natürlich nicht aktiv sind.
Nach diversem Googeln habe ich noch ein paar Artikel z.B. bei Heise gefunden, die meist damit enden:
"Mit diesen Methoden kann ein Angriff stark erschwert werden. Einen kompletten Schutz stellt jedoch auch dieses Verfahren bei entsprechendem Aufwand nicht dar, wenn der Angreifer entsprechende Recourcen zur Verfügung hat (z.B. über ein Botnetz)"
Nun stellt sich die Frage, was wir weiter tun können. Da die IP's aus den unterschiedlichen Netzen kommen, haben wir da kaum eine Chance. Problematisch ist einfach, dass die Anfragen aufgrund Ihrer Vielfzahl und unterschiedlichen Herkunft kaum noch von normalen Requests unterschieden werden können.
Ungewöhnlich ist die Ausdauer von dem Kerl. Nun schon 5 Tage.
Zwei Dinge würden wir gerne tun:
1. Die Attacke so weit ausbremsen, dass der Server nicht mehr so stark belastet wird und die Besucher auch Webseiten erhalten.
2. Den Kerl finden und vor den Kadi ziehen! Der Schaden ist, wie man sich vorstellen kann, inzwischen beträchlich.
Kurz zum System:
Ein Debian 2.4 (2.6 klappt leider nicht mit dem Raid) sowie Apache 1.3...
Das ganze läuft auf einem Dual-Xeon 2,8 GHZ-System mit 4 GB Ram
Bei der Konfig wundert es mich, dass er es wirklich schafft, die 600 Slots des Apache dicht zu bekommen, da die Firewall die Verbindungen nach spätestens 3 Sekunden sperrt und die IP blockt.
Für Hilfen, Anregungen und Quellen zu weiteren Infos wäre ich sehr dankbar.
Bye,
Sebastian