Webserver vor Flooding-Angriffen schützen

abend allerseits,

meine webseite wurde nun zum 2.mal (laut provider) durch einen flooding-angriff lahmgelegt. es wurden mehrere hundert anfragen (domain) gestellt und so den server zum absturz gebracht. da noch andere kunden auf demselben webserver untergebracht sind, ist die stimmung entsprechend ...

der server kann nur eine bestimmte anzahl von session gleichzeitig verwalten. gibt es eine möglichkeit (konfiguration), dass eine IP nicht so viele anfragen hintereinander ausführen kann?

hab selber schon gesucht, aber sql_pconnect oder mod_loadavg sollen angeblich das problem nicht lösen können. es ist auch keine suchmaschine, die durch eine simple robots.txt daran gehindert werden können. die IPs kommen aus russland und niederlande - wahrscheinlich gefaked.

ideen?

Beitrag bearbeitet von coyote am 28.06.2008, 21:20

Guten Abend coyote,

im Normalfall ist das Aufgabe der Firewall, für netfilter/iptables gibt es zum Beispiel das Modul iplimit, mit der man den Zugriff für einzelne IP Adressen oder Adressblöcke einschränken kann.

Auf Ebene des Webservers böte es sich zudem an, den Abruf von Seiten per .htaccess Datei zu sperren. Eine solche Konfiguration verläuft typischerweise nach folgendem Muster:

Die Anfragen an sich werden dadurch natürlich nicht blockiert, Crawler und dergleichen bekommen jedoch eine Fehlerseite angezeigt und finden so keine Links mehr, die sie weiter verfolgen könnten (oder Formulare zum Zuspammen).

Eine ähnliche Lösung ließe sich ebenfalls per .htaccess Datei, dann aber mit dem Apache Modul mod_rewrite lösen. Auch hier kannst du eine IP Adresse oder einen ganzen IP Bereich aussperren:

Sofern sich dein Provider an der Fülle der Anfragen stört, führt der Weg nur über die Firewall. Andernfalls laufen die Requests schon beim Webserver auf und werden erst dort mit einem Error 403 oder ähnlichem abgewimmelt.

Es handelt sich bei der robots.txt um eine reine Konvention. Ob sich der Suchmaschinen-Betreiber auch daran hält, ist letztendlich seine Angelegenheit.

MfG

das ist ja das problem, dass man vorher die IP (bereich) festlegen muss. sinnvoller wäre eine generelle beschränkung der zugriffe auf alle IPs. warum müssen für eine ip mehr als z.b. 10 anfragen pro sekunden verarbeitet werden? - auf einem webserver doch unnötig. oder meintest du das mit "netfilter"?

danke für's mitdenken!

€dit

scheint garnicht so einfach zu sein ...

Beitrag bearbeitet von coyote am 29.06.2008, 13:43

Guten Tag coyote,

im Regelfall versucht man, IP Adressen oder Adressbereiche komplett zu blockieren, um z.B. laufende DoS Attacken abzuwenden. Sicherlich kann man auch granularer filtern, indem man Zugriffe einzeln protokolliert, dann ist aber auch der verwaltungstechnische Overhead entsprechend groß.

Die Firewall netfilter/iptables bietet diverse Zusatzmodule, um den Zugriff auf Server und Dienste einzuschränken. Schau dich in diesem Bereich einfach mal um. Mit dem Modul iplimit lässt sich etwa die Anzahl paralleler Verbindungen eines Hosts begrenzen. Darüber hinaus gibt es ein Modul recent, mit dem auch einzelne IP Adressen geloggt und verfolgt werden können. Mit den Optionen --seconds und --hitcount kannst du dort etwa auch bestimmen, wie viele Zugriffe in welcher Zeit erlaubt sind, bzw. für wie lange der Hostname bei Fehlverhalten ausgesperrt werden soll.

Bei einer dreistufigen Regel könnte das Ganze etwa so aussehen:

Mit Port 443 für HTTPS Verbindungen bei Bedarf entsprechend. Für weitere Informationen siehe auch hier.

MfG

klingt für mich als laie vielversprechend^^
ich hab's an den provider weitergeleitet.

bis hierhin danke!