помогите советом с ddos атакой

ddos, nginx, post запросы

0

2

Добрый вечер, по ситуации есть сайт xxxx.com у него на главной странице находится форма входа, которая передает данные методом POST на login.php

В общем в логах полно запросов

103.9.126.93 - - [17/Jul/2013:09:58:36 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"

171.7.120.18 - - [17/Jul/2013:09:58:36 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"

49.201.47.143 - - [17/Jul/2013:09:58:36 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"

49.49.46.227 - - [17/Jul/2013:09:58:36 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"

178.207.59.161 - - [17/Jul/2013:09:58:37 +0200] «POST xxxx.com HTTP/1.1» 400 166 "-" "-" "-"

1.9.162.11 - - [17/Jul/2013:09:58:37 +0200] «POST xxxx.comm HTTP/1.1» 400 166 "-" "-" "-"

178.207.73.207 - - [17/Jul/2013:09:58:37 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"

78.188.175.126 - - [17/Jul/2013:09:58:37 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"

121.54.46.163 - - [17/Jul/2013:09:58:37 +0200] «POST xxxx.com HTTP/1.1» 400 166 "-" "-" "-"

36.73.54.134 - - [17/Jul/2013:09:58:37 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"

114.79.50.32 - - [17/Jul/2013:09:58:37 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"

75.120.125.174 - - [17/Jul/2013:09:58:37 +0200] «POST http://www.xxxx.com HTTP/1.1» 400 166 "-" "-" "-"

как можно отфильтровать такие POST запросы нацеленные на домен именно ? А то создают большую нагрузку, и доходят до бекенда.

Пробовал натравить fail2ban на данные логи nginx, но что то ничего у меня не вышло видимо с регуляркой.

failregex = ^<HOST> - .* «POST http://www.xxxx.com HTTP.*» 403 [0-9]{1,} ".+" ".+«$

или как можно просто этим ботам отдавать 444 ошибку в nginx , чтобы эти запросы не доходили до backend Можете подсказать ?

Ссылка

←	Broadcast-пакеты через pptp

Не получается правильно настроить BIND

→

А почему в логах ошибка 400, а в регулярке - 403?

om-nom-nimouse ★★
(17.07.13 21:11:37 MSK)

iptables -I INPUT -p tcp -s <ip_address_of_xxxx.com> -j DROP ?

dmiceman ★★★★★
(17.07.13 21:11:51 MSK)

Ответ на: комментарий от om-nom-nimouse 17.07.13 21:11:37 MSK

сорри это забыл поправить перед тем как постить, не работает и с 400. тестировал просто по разному.

avalon-group
(17.07.13 21:18:03 MSK) автор топика

Ответ на: комментарий от dmiceman 17.07.13 21:11:51 MSK

;) а ботов мне это как поможет отловить и забанить ?)

avalon-group
(17.07.13 21:18:56 MSK) автор топика

Ответ на: комментарий от avalon-group 17.07.13 21:18:56 MSK

а, не понял вопроса. ну тогда либо домучать fail2ban, либо написать свою парсилку лога с той же функциональностью. я в свое время предпочел второй вариант.

dmiceman ★★★★★
(17.07.13 21:24:24 MSK)

Ссылка

Ответ на: комментарий от avalon-group 17.07.13 21:18:03 MSK

Тогда так:

acl ddos_url url_regex ^http://www.xxxx.com$
acl ddos_method method POST
http_access deny ddos_method ddos_url

om-nom-nimouse ★★
(17.07.13 21:25:34 MSK)

Ответ на: комментарий от om-nom-nimouse 17.07.13 21:25:34 MSK

прошу прощения а куда мне эти acl ?)

avalon-group
(17.07.13 21:30:06 MSK) автор топика

Да, добавлять адреса в таблицу блокировки ipset можно тупым

tail -F <logfile> | awk '/<регулярка>/{system("ipset add <ddos-table> "$1)}'

om-nom-nimouse ★★
(17.07.13 21:30:43 MSK)
Последнее исправление: om-nom-nimouse 17.07.13 21:34:32 MSK (всего исправлений: 3)

Ссылка

Ответ на: комментарий от avalon-group 17.07.13 21:30:06 MSK

В конфиг сквида, вестимо.

om-nom-nimouse ★★
(17.07.13 21:31:10 MSK)

Ответ на: комментарий от om-nom-nimouse 17.07.13 21:31:10 MSK

нету сквида, только nginx который проксирует на apache. да и не пойму зачем тут squid.

avalon-group
(17.07.13 21:34:13 MSK) автор топика

Ответ на: комментарий от avalon-group 17.07.13 21:34:13 MSK

Блин. Тогда сложнее, с nginx я такие веши не подскажу. Можно попробовать rewrite rule натроить, правда. Впрочем, про парсилку логов всё правильно в любом случае.

om-nom-nimouse ★★
(17.07.13 21:41:21 MSK)

Ответ на: комментарий от om-nom-nimouse 17.07.13 21:41:21 MSK

ну спасибо и на этом. P>S а может кто поможет правильную регулярку сделать для fail2ban у меня в упор не получается ;(

avalon-group
(17.07.13 21:43:47 MSK) автор топика

Ответ на: комментарий от avalon-group 17.07.13 21:43:47 MSK

Такое?

^<HOST> - - \[[^\]]+\] "POST http://www.xxxx.com HTTP/1\.1" 40

om-nom-nimouse ★★
(17.07.13 21:51:22 MSK)

Ответ на: комментарий от om-nom-nimouse 17.07.13 21:51:22 MSK

неа

Results
=======

Failregex: 0 total

Ignoreregex: 0 total

Summary
=======

Sorry, no match

avalon-group
(17.07.13 21:56:52 MSK) автор топика

Ссылка

Защита от ддос это полностью творческий процесс.

Самое примитивное это фильтровать запросы по значению Referer, User-Agent. Многие писатели ботов не додумываются их указывать.

Если ддосят с одних и тех же ип, можно написать какой нибудь анализатор логов который будет банить по ип через iptables.

Если ддосят в несколько потоков с каждого ип, можно средствами iptables ограничить количество параллельных соединений.

...

~~TDrive~~ ★★★★★
(18.07.13 10:58:11 MSK)