DDos 공격을 받고 있습니다. 도움 좀 부탁드립니다.
DDos 공격으로 부터 웹서버가 멈춘지 5시간 가량됩니다.
제가 웹서버 관련해서 작업이 좀 서툽니다. 공부를 하려해도.. 당잡 급한불을 꺼야해서.. 여기에 글을 올립니다.
다음은 Load Average 입니다.
-------------------------------------------------
16:24:34 up 18:28, 1 user, load average: 480.41, 486.52, 79.56
USER TTY LOGIN@ IDLE JCPU PCPU WHAT
17:19:28 up 19:22, 2 users, load average: 725.37, 276.00, 162.95
[root@server21010910289 extra]# w
18:52:57 up 20:56, 2 users, load average: 635.20, 224.19, 80.70
USER TTY LOGIN@ IDLE JCPU PCPU WHAT
-------------------------------------------------
웹서버를 통해 특정 URL 로 계속 접속을 하고 있습니다.
예를 들면, 아래와 같이 특정 URL 로 변종IP(또는 분산)으로 들어옵니다.
128.120.178.75 - - [08/Feb/2009:19:40:07 +0900] "GET /?abc=def&ghi=xyz
웹서버를 실행시면 계속 뻗어서.... mod_cband 로 전송 제한을 하루 1M 해 놓았습니다.
그래서 현제 로드는 load average: 2.57, 2.42, 4.01 입니다.
mod_cband 에서 IP 별, 초당 회수별 접속을 막을 수 있나요?
mod_cband 에서 대량 접속시도하는 것을 막았을 경우, 증상이 완화 될 수 있나요?
iptables 에서 HTTP 의 GET 으로 접속하는 것 중.. query_string 에서 특정 값을 비교해서 DROP 할 수 있나요?
mod_eavsive 를 설치하려는데 apx 셋업에서 아래와 같은 에러가 납니다.
Warning! dlname not found in /usr/local/apache2/modules/mod_evasive20.la.
Assuming installing a .so rather than a libtool archive.
chmod 755 /usr/local/apache2/modules/mod_evasive20.so
chmod: getting attributes of `/usr/local/apache2/modules/mod_evasive20.so': No such file or director
y
apxs:Error: Command failed with rc=65536
.
--------------------
좋은 아이디어가 있으신 분은 꼭 좀 답변 바랍니다.
감사합니다.
1. mod_cband 는
1. mod_cband 는 모르겠고, mod_evasive 로 가능합니다.
2. 해당 공격은 GET FLOODING 처럼 보이므로, 접속 시도를 막으면 당연히 증상이 완화됩니다.
3. iptables -I INPUT -p tcp --dport 80 -m string --string "GET /xxxx" --algo kmp -j DROP 과 같은 형태로 DROP 할 수 있습니다.
4. 에러 메시지가 No such file or directory 인 것으로 보아.. 파일이름이 다르거나 경로가 틀리지 않았나 합니다.
사업자면 DDoS 장비를 임대하시는것이 좋을듯 합니다.
IPTABLE로 어느정도 차단이 가능하지만 룰셋이 많아질경우 IPTABLE 데몬을 처리하느라고 웹서비스 데몬을 처리를 못할 경우가 생길수 있기 때문에 문제가 될 수 있습니다.
DDOS 임대 서비스를 받아보시는것이 좋을듯 합니다.