DDos 공격을 받고 있습니다. 도움 좀 부탁드립니다.

thruthesky의 이미지


DDos 공격으로 부터 웹서버가 멈춘지 5시간 가량됩니다.

제가 웹서버 관련해서 작업이 좀 서툽니다. 공부를 하려해도.. 당잡 급한불을 꺼야해서.. 여기에 글을 올립니다.

다음은 Load Average 입니다.

-------------------------------------------------
16:24:34 up 18:28, 1 user, load average: 480.41, 486.52, 79.56
USER TTY LOGIN@ IDLE JCPU PCPU WHAT

17:19:28 up 19:22, 2 users, load average: 725.37, 276.00, 162.95


[root@server21010910289 extra]# w
18:52:57 up 20:56, 2 users, load average: 635.20, 224.19, 80.70
USER TTY LOGIN@ IDLE JCPU PCPU WHAT
-------------------------------------------------

웹서버를 통해 특정 URL 로 계속 접속을 하고 있습니다.

예를 들면, 아래와 같이 특정 URL 로 변종IP(또는 분산)으로 들어옵니다.

128.120.178.75 - - [08/Feb/2009:19:40:07 +0900] "GET /?abc=def&ghi=xyz

웹서버를 실행시면 계속 뻗어서.... mod_cband 로 전송 제한을 하루 1M 해 놓았습니다.

그래서 현제 로드는 load average: 2.57, 2.42, 4.01 입니다.

mod_cband 에서 IP 별, 초당 회수별 접속을 막을 수 있나요?

mod_cband 에서 대량 접속시도하는 것을 막았을 경우, 증상이 완화 될 수 있나요?

iptables 에서 HTTP 의 GET 으로 접속하는 것 중.. query_string 에서 특정 값을 비교해서 DROP 할 수 있나요?

mod_eavsive 를 설치하려는데 apx 셋업에서 아래와 같은 에러가 납니다.

Warning! dlname not found in /usr/local/apache2/modules/mod_evasive20.la.
Assuming installing a .so rather than a libtool archive.
chmod 755 /usr/local/apache2/modules/mod_evasive20.so
chmod: getting attributes of `/usr/local/apache2/modules/mod_evasive20.so': No such file or director
y
apxs:Error: Command failed with rc=65536
.

--------------------

좋은 아이디어가 있으신 분은 꼭 좀 답변 바랍니다.

감사합니다.

monovision의 이미지

1. mod_cband 는 모르겠고, mod_evasive 로 가능합니다.
2. 해당 공격은 GET FLOODING 처럼 보이므로, 접속 시도를 막으면 당연히 증상이 완화됩니다.
3. iptables -I INPUT -p tcp --dport 80 -m string --string "GET /xxxx" --algo kmp -j DROP 과 같은 형태로 DROP 할 수 있습니다.
4. 에러 메시지가 No such file or directory 인 것으로 보아.. 파일이름이 다르거나 경로가 틀리지 않았나 합니다.

airpro의 이미지

IPTABLE로 어느정도 차단이 가능하지만 룰셋이 많아질경우 IPTABLE 데몬을 처리하느라고 웹서비스 데몬을 처리를 못할 경우가 생길수 있기 때문에 문제가 될 수 있습니다.
DDOS 임대 서비스를 받아보시는것이 좋을듯 합니다.