Seitenaufrufe blocken - DDOS

Mäxchen

New Member
Hallo zusammen,

kann ich einen Server dadurch in die Knie zwingen, dass man eine Datei 100.000 mal am Tag aufruft? bzw was kann man dagegen machen?

Eigentlich sollte dann doch nur das eine Web / der jeweilige Vserver Probleme haben, und nicht alle VHosts, oder?

Ich hab das Problem, dass bei einem Webspace von einer anderen Website eine Datei pro Tag recht häufig aufgerufen wird. >100.000 mal pro Tag
Da war wohl mal eine PHP-Seite hinterlegt, die nen Counter gesteuert hat. (Gibt's aber nicht mehr)

Ich hab da jetzt mal ne leere HTML-Seite abgelegt, dass der Traffic minimal ist.

Lt meinem Provider erzeugt das trotzdem noch massive Last auf dem Apache.

Dass man Skript oder Suchabfragen in einer Website beutzt um den Server zu überlasten ist klar, aber ein einfacher Dateiaufruf kann doch nicht so wild sein, oder?

Im Log sieht das dann so aus:

ip.x.y.z - - [Datum] "GET /counter.php HTTP/1.1" 403 242 "http://www.anderedomainname.at" "Browser kennung"

Muss ich da die IP Blocken oder die andere Domain?

... und wie mach ich das?
 

mr_brain

Registered User
Sperre die IP, die die Seite immer aufruft.

iptables -I INPUT -s IP -j DROP

Wobei IP die ist, von welcher aus zugegriffen wird.
 

Joe User

Zentrum der Macht
Füge in der Config des betroffenen VHosts folgende Zeile im entsprechenden Directory-Container ein und restarte den Apache:
Code:
Redirect 301 /counter.php http://127.0.0.1/
Damit schickst Du alle Anfragen zurück zum Absender und das unabhängig von seiner IP-Adresse. Dir muss aber bewusst sein, dass das nur ein Dirty-Hack ist und Deinen Apache nur zu circa 50% entlastet. Dafür sparst Du Dir das permanente Updaten der IPTables-Rules welche zuvor vorgeschlagen wurden.

Disclaimer: Es ist nur ein Dirty-Hack als temporärer Workaround und nicht als Allheilmittel zu verstehen!
 

Mäxchen

New Member
hm, die IP ist ja jedesmal ne andere.
tausende IPs ...

Also IP des Hosts, der die www. andereseite .at aufruft auf der was von mir eingebunden ist.

Oder kann ich irgendwie die andere Seite blocken, die von mir was eingebunden hat?
 

loreen

New Member
Ab einer Anzahl von bots bringen IP tables nicht mehr. Ich empfehlen dir ein load balancer mit nginx davor zu schalten mit einer guten software firewall + ip tables + ddos deflate + syn cookies-

Versuche herauszufinden um welche ddos Methode es sich handelt.
 

d4f

Kaffee? Wo?
Oder kann ich irgendwie die andere Seite blocken, die von mir was eingebunden hat
Nein, du könntest aber versuchen aus den Referrer die Seite zu erkennen und diese lieb fragen den Code zu entfernen.
Nginx und Co als Reverse-Proxy sollten übrigens mit den Abfragen problemlos klar kommen.

Kommt die Anfrage an eine (Sub)Domain welche aktiv verwendet wird?
Ansonsten könntest du diese DNS-seitig auf 127.0.0.1 setzen.
 

Mäxchen

New Member
Danke für die Antworten.

>Ich empfehlen dir ein load balancer mit nginx davor zu schalten mit einer guten software firewall + ip tables + ddos deflate + syn cookies-

da steht der Aufwand in keinem Verhältnis zum Nutzen / abgewendeten Schaden.

Aber interessant, dass man mit so einfachen Mittel wie Seitenaufrufen, die es sogar gar nicht gibt zumindest einfache Webserver aus der Bahn werfen kann.

Dass man das über ungesicherte Suchabfragen auf der Seite schafft oder Formularen - ok, aber mit sowas banalem wie 200.000 Seitenaufrufen am Tag, die nicht mal die Seite betreffen sondern nur etwas includiertes ...

nochmals danke:)
 
Top