http attacke, automatische IP sperre?

Beitrag von **saudepp** » 04.11.2007, 21:22

@ airport1

habe leider keinen eigenen server.

habe gerade mit 1&1 telefoniert. die können da natürlich nix machen. die haben die logfiles angesehen, sagen es wäre nicht so schlimm, "nur" 15.000 anfragen pro tag ... echte ddos attacken wären mehrere 1.000 pro sekunde.
automatische skripte um spammende IPs zu detektieren haben die natürlich nicht.

naja, ich kann mir da auch selber einen skript schreiben.
jetzt muss ich nur noch wissen, wie man in die htaccess ein text file (mit den zu sperrenden IPs) einliest.

von **Anzeige von ABAKUS** »

Beitrag von **lloy** » 04.11.2007, 21:45

vielleicht schreibe ich ein skript, das all IPs mit # of impressions in eine DB schreibt. wenn die {# of impressions} / {definierter Zeitraum} eine kritische Schranke überschreitet, wird die IP per htaccess automatisch gesperrt.

Für den Apachen gibts genau dafür mod_evasive -> https://www.zdziarski.com/projects/mod_evasive/

Zur Installation brauchts allerdings auch Zugriff auf den Server.

Beitrag von **saudepp** » 04.11.2007, 22:19

lloy hat geschrieben:
vielleicht schreibe ich ein skript, das all IPs mit # of impressions in eine DB schreibt. wenn die {# of impressions} / {definierter Zeitraum} eine kritische Schranke überschreitet, wird die IP per htaccess automatisch gesperrt.
Für den Apachen gibts genau dafür mod_evasive -> https://www.zdziarski.com/projects/mod_evasive/

Zur Installation brauchts allerdings auch Zugriff auf den Server.

Klingt gut.

Aber:

Code: Alles auswählen

    *  Requesting the same page more than a few times per second
    * Making more than 50 concurrent requests on the same child per second
    * Making any requests while temporarily blacklisted &#40;on a blocking list&#41;

Keiner der Punkte trifft auf den Spammer zu. Der ruft die Seite pro Minute ungefähr nur 10 mal auf.
Das ist aber schon gefährlich für AdSense ...

Beitrag von **lloy** » 04.11.2007, 23:39

ok, man kann in der Konfigurationsdatei aber auch einstellen, wieviele Aufrufe von einer einzelnen IP auf eine einzelne HTML-Seite toleriert werden. Ich glaube, man kann auch das Zeitintervall genau definieren sowie die Zeitspanne, für der eine IP geblacklistet wird, müsste ich mal nachschauen.

Sofern Du das Modul installiert bekommst, kann ich es nur empfehlen. Läuft bei mir sehr gut ohne merkliche Performance-Einbussen.

Edit: Ja auch der Zeitintervall geht...

Code: Alles auswählen

<IfModule mod_evasive20.c>
  DOSHashTableSize 3097
  DOSPageCount 5 -> Anzahl der max. Aufrufe für eine Page
  DOSSiteCount 100 -> Anzahl Aufrufe für die ganze Site
  DOSPageInterval 2 -> Zeitintervall
  DOSSiteInterval 2 -> Zeitintervall 
  DOSBlockingPeriod 600
  DOSEmailNotify deine@email-adresse.de
</IfModule>

Beitrag von **saudepp** » 05.11.2007, 00:49

Code: Alles auswählen

1. Extract this archive into src/modules in the Apache source tree

Habe bei 1&1 Webhosting leider keinen Zugriff auf das Apache Verzeichnis

Gibts so was ähnliches auch als PHP Skript?

Beitrag von **To-Bi-As** » 05.11.2007, 03:17

Also als fertiges Script kenne ich das nicht, aber so schwer ist das auch nicht.

Pack einfach bei einem Aufruf alle Daten in eine DB. Bei jedem weiterem Aufruf wird dann ermittelt wie oft der schon da war... 5x pro Stunde oder 10x pro Minute oder 2x pro Sekunde.

Danach kannste dann sperren oder freigeben. Allerdings brauchste dann einen vernünftigen Hoster, da alle Zugriffe registriert werden, auch von Suchmaschinen.

Letztere kannste von der Prüfung ausschließen, kostet aber auch Rechenzeit und ist nicht 100% sicher.

Gruß, Ingo

Beitrag von **saudepp** » 05.11.2007, 04:01

To-Bi-As hat geschrieben:Also als fertiges Script kenne ich das nicht, aber so schwer ist das auch nicht.

Pack einfach bei einem Aufruf alle Daten in eine DB. Bei jedem weiterem Aufruf wird dann ermittelt wie oft der schon da war... 5x pro Stunde oder 10x pro Minute oder 2x pro Sekunde.

Danach kannste dann sperren oder freigeben. Allerdings brauchste dann einen vernünftigen Hoster, da alle Zugriffe registriert werden, auch von Suchmaschinen.

Letztere kannste von der Prüfung ausschließen, kostet aber auch Rechenzeit und ist nicht 100% sicher.

Gruß, Ingo

so hatte ich mir das in etwa auch vorgestellt. fragt sich nur, wie die IP Adresse an die htaccess übergeben wird. einfach die komplette htaccess überschreiben, wenn eine neue zu sperrende IP dazukommt?
oder gibt es einen htaccess command, über den man eine blacklist als text file einlesen kann?

Beitrag von **Fox Mulder** » 05.11.2007, 05:36

Das Script schaut doch ganz gut aus: Flood Blocker: Detect and protect from attempts to flood a site
Die im Beispiel angegebene Regeln wären mir aber zu empfindlich.

Beitrag von **Airport1** » 05.11.2007, 11:06

aber aufpassen: stellt man das frequenz intervall zu klein ein, kann es passieren dass man damit "flotte echte suma bots" aussperrt, denn die fetchen nicht unbedingt nur 1 seite je 1 sekunde

Beitrag von **Mamboo** » 05.11.2007, 15:16

Vor allem Websites die Ihre Nachrichten bei Google News veröffentlichen, sollten hier aufpassen.

Beitrag von **saudepp** » 05.11.2007, 15:39

Fox Mulder hat geschrieben:Das Script schaut doch ganz gut aus: Flood Blocker: Detect and protect from attempts to flood a site
Die im Beispiel angegebene Regeln wären mir aber zu empfindlich.

danke fox mulder!

genau so etwas hatte ich gesucht.

werde noch versuchen, den google bot in dem skript immer zuzulassen.

EDIT: geht ganz einfach. in function RawCheck muss man einfach am ende reinschreiben:

Code: Alles auswählen

$browser = $HTTP_USER_AGENT;
if &#40;preg_match&#40;"/Googlebot/i", $browser&#41;&#41;
&#123; $no_flood = TRUE; &#125;

noch nicht getestet, aber sollte so gehen.
[/code]

Beitrag von **saudepp** » 06.11.2007, 04:25

Noch ne Frage:

Falls der Spammer mal auf Bilder oder Files umschaltet, und solche per http request direkt flooded:
da kann man dann nur noch über htaccess agieren?
Gibt es Skripte, die die Server-Logdateien automatisch auswerten, und IPs mit hohen Request-Werten sperren?
Ich hätte überhaupt gerne mal ein Skript, das für eine gegeben Log-Datei die IPs nach # of requests sortiert auflistet.
Macht awstats vielleicht so etwas?

Beitrag von **ROM** » 01.02.2008, 22:03

Habe ein Script gefunden, was nach XX Aufrufen in einem bestimmten Zeitintervall den Zugriff sperrt -> https://forum.dreamhosters.com/3rdparty ... or-PHP.htm

Einfach vorher noch eine php if Abfrage, ob .googlebot.com, msn oder yahoo in der host enthalten ist. Sollte reichen, oder?

Beitrag von **Airport1** » 02.02.2008, 10:33

naja naja... wenn die ddos erkennung erst unter php erfolgt ist es fast schon zu spaet (application stack?).. dann lieber ein ddos.sh shell script, was das relativ fruehzeitig erkennt und gleich iptables informiert , um die pakete schon "ganz unten" zu verwerfen..

andererseits koennte diese variante (php-script) fuer diejenigen interessant sein, die keinen server vollzugriff o.ae. haben. hats schon jemand ausgetestet?

Beitrag von **Thomas B** » 02.02.2008, 11:18

"...irgendein spaßvogel attackiert gerade meine seite, indem er eine bestimmte unterseite mehrmals pro sekunde aufruft..."

Mal eine dumme Frage: Wie merkt Ihr soetwas. Schaut Ihr Euch stündlich die Logs an oder war das jetzt nur Zufall?