Merkwürdige DoS-Attacke in den Griff bekommen

[os-t]

Hi all,

ich hab seit einigen Tagen ein Problem mit einer täglichen (aber nicht regelmnäßigen) DDoS-Attacke. Die Besonderheit: Die Attacke dauert nur 1-2 Minuten, reicht aber um den Server eben für diese kurze Zeit lahm zu legen.

Ich nutze Apache 2 mit prefork-MPM, es ist ein Maximum von 750 Prozessen eingestellt. Fast täglich kommen nun binnen weniger (fast einer) Sekunde mehrere 100 Anfragen auf ein und die selbe PHP-Seite (>200kb), dadurch werden alle Prozesse ausgelastet und der Apache steht.
mod_evasive zieht nicht, da eben wirklich fast nur 1 Request pro Child-Prozess ausgeführt wird und der Apache also schon am Boden ist, bevor die Blacklist überhaupt in Kraft tritt.
Die IP-Adressen wechseln täglich (teilweise kommen die Attacken zeitgleich von verschiedenen IPs). Die IPs sind meist aus dem asiatischen Raum, ab und an sind auch europäische dabei.

Jetzt meine Frage: Hast jemand eine Idee, wie ich so etwas in den Griff bekommen könnte? Gibt es Skripte, die global alle TCP/IP-Connections auf Port 80 anschauen (netstat-output) und bei einer zu großen Zahl der Connections (welchen Wert haltet ihr für sinnvoll) die IP in eine deny.hosts einträgt (oder die Connections direkt killt)?
Oder muss ich sowas selbst erfinden?

Bin für jede Hilfe diesbezüglich dankbar!

Gruß Os-T

[os-t]

Keiner eine Idee oder einen Hint?

[oxygen]

Ich würde vermuten das verschickt jemand Spam.

[os-t]

Du meinst über ein PHP-Formular?
Nein die entsprechende File enthält keinerlei Formular. Der Mailserver tut in diesem Momenten auch nicht sonderlich viel. Spam scheint also ausgeschlossen zu sein.

[Roger Wilco]

Gibt es Skripte, die global alle TCP/IP-Connections auf Port 80 anschauen (netstat-output) und bei einer zu großen Zahl der Connections (welchen Wert haltet ihr für sinnvoll) die IP in eine deny.hosts einträgt (oder die Connections direkt killt)?

Dafür lässt sich mod_evasive einspannen. Mit DOSSystemCommand kannst du dann das entsprechende iptables-Kommando aufrufen.

-> http://www.zdziarski.com/projects/mod_evasive/
-> http://www.debianhowto.de/doku.php/de:h ... od_evasive

[os-t]

Ich setze mod_evasive schon ein, allerdings (wie schon versucht zu beschreiben) greift mod_evasive nicht rechtzeitig, weil ich zu viele Prozesse des Apachen forke und damit das Ding schon ausgelastet ist, bevor die Blacklist überhaupt greift...
Ich werd aber mal sehen ob ich damit die Verbindungen per iptables direkt kappen kann, dan könnte es funktionieren.

Gruß
Os-T

[daemotron]

Du könntest Dir ansonsten mal recent und limit bei iptables anschauen - vielleicht kannst Du Dir damit was basteln...

[danu]

weil ich zu viele Prozesse des Apachen forke und damit das Ding schon ausgelastet ist

.. pro laufendes CMS promlemlos 200 Requests/Sekunde

mit ein paar hundert ist IMHO Apche noch lange nicht ausgelastet

Dafür lässt sich mod_evasive einspannen

...doch, ganz gewiss

Fehler kann auch ein korruptes Filesystem sein. die Partition mit den vhosts checken. Scheint mir eine typische Verhaltensweise von apache zu sein.

[os-t]

Hi,

ich habe ein maximal Limit von 750 Prozessen eingestellt. Dieses Limit wird durch die Attacken einfach erreicht und der Apache nimmt keine Requests mehr entgegen -> der Apache ist nicht mehr erreichbar.