Wir werden zur Zeite gerade krass gefloodet, was unsere Webseiten in die Knie bringt - sprich nicht immer ausgeliefert werden können.
Da sich laut Hoster keine Muster erkennen lässt (unterschiedliche Ports, IP-Adressen usw.), werden wir nun den Zugriff auf den Server geografisch einschränken.
Ich hab hier zwar ne IP vom Google-Bot, der bei uns aktiv ist, aber eine Liste, welche explizit erlaubt wird wäre besser. Ich mache mir ein wenig Sorgen, dass unsere serps beeinträchtigt werden könnten. Attacke läuft nun mittlerweile seit ca. 12 Stunden.
Hier der Quote vom Provider.
habt ihr andere Empfehlungen, um das Problem los zu werden ausser die geo-einschränkung? Da 98% der Besucher aus der Schweiz sind, sollte es dann ja schon besser sein. Die Zombies flooden mehrheitlich aus USA, Niederlande, Russland und Deutschland.Die nachfolgenden per NetFlow Protokoll auf unseren Backbone Routern gesammelten und per nfsen aufbereiteten Daten zeigen dass bei den gewählten Aggregierungen die jeweiligen "Top Talker" Source IP Adressen ungewöhnlich viele Pakete geschickt haben was den Verdacht aufkommen lässt, dass es sich hier nicht "nur" um eine TCP SYN basierte Spoofing Attacke sondern um saubere per TCP Handshake etablierte Verbindungen handelt die von einem Botnet zugehörigen Zombie Hosts initiiert wurden.
Gruss Stefan
