URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 4474
[ Назад ]

Исходное сообщение
"Спасите от атаки на ХТТП"

Отправлено Dimitry , 05-Ноя-06 20:45 
Всем привет!
Мой апач иногда атакуют, забивается всё число клиентов апача (200 процессов)
при этом апачь не обрабатывает запросы других пользователей
Кто нибуть знает что это за атака и как бороться с ней??

netstat говорит следующее... (*** - мой домен естесно)

tcp        0      0 ***.com:www-http  81.169.233.123:4333     TIME_WAIT
tcp        0      0 ***.com:www-http  81.169.233.1:kmscontrol ESTABLISHED
tcp        0      0 ***.com:www-http  81.169.233.123:hsrpv6   ESTABLISHED
tcp        0    413 ***.com:www-http  81.169.233.123:vpac     FIN_WAIT1
tcp        0      0 ***.com:www-http  dialup83.m-d:codima-rtp ESTABLISHED
tcp        0      0 ***.com:www-http  81.169.233:nas-metering ESTABLISHED
tcp        0      0 ***.com:www-http  81.169.233.123:vpvd     TIME_WAIT
tcp        0      0 ***.com:www-http  81.169.23:global-dtserv TIME_WAIT
tcp        0    493 ***.com:www-http  81.169.233.123:dka      CLOSING
tcp        0      0 ***.com:www-http  81.169.233.123:vpvc     TIME_WAIT
tcp        0      0 ***.com:www-http  81.169.233:mobrien-chat ESTABLISHED
tcp        0      0 ***.com:www-http  81.169.233.12:lnvpoller ESTABLISHED
tcp        0      0 ***.com:www-http  81.169.233.123:cft-7    ESTABLISHED


Содержание

Сообщения в этом обсуждении
"Спасите от атаки на ХТТП"
Отправлено waldo , 06-Ноя-06 08:53 
>Всем привет!
>Мой апач иногда атакуют, забивается всё число клиентов апача (200 процессов)
>при этом апачь не обрабатывает запросы других пользователей
>Кто нибуть знает что это за атака и как бороться с ней??
>
>
>netstat говорит следующее... (*** - мой домен естесно)
>
>tcp        0    
>  0 ***.com:www-http  81.169.233.123:4333     TIME_WAIT
>
>tcp        0    
>  0 ***.com:www-http  81.169.233.1:kmscontrol ESTABLISHED
>tcp        0    
>  0 ***.com:www-http  81.169.233.123:hsrpv6   ESTABLISHED
>tcp        0    
>413 ***.com:www-http  81.169.233.123:vpac     FIN_WAIT1
>tcp        0    
>  0 ***.com:www-http  dialup83.m-d:codima-rtp ESTABLISHED
>tcp        0    
>  0 ***.com:www-http  81.169.233:nas-metering ESTABLISHED
>tcp        0    
>  0 ***.com:www-http  81.169.233.123:vpvd     TIME_WAIT
>
>tcp        0    
>  0 ***.com:www-http  81.169.23:global-dtserv TIME_WAIT
>tcp        0    
>493 ***.com:www-http  81.169.233.123:dka      CLOSING
>tcp        0    
>  0 ***.com:www-http  81.169.233.123:vpvc     TIME_WAIT
>
>tcp        0    
>  0 ***.com:www-http  81.169.233:mobrien-chat ESTABLISHED
>tcp        0    
>  0 ***.com:www-http  81.169.233.12:lnvpoller ESTABLISHED
>tcp        0    
>  0 ***.com:www-http  81.169.233.123:cft-7    ESTABLISHED
убей с помощью firewall всю атакующую сеть
example iptables:
iptables -A INPUT -i eth0 -s 81.169.233.0/24 -j DROP

можешь написать грозное письмо или позвонить :) хозяину адресов:

% Information related to '81.169.224.0 - 81.169.239.255'
inetnum:         81.169.224.0 - 81.169.239.255
netname:         SKYDSL1
descr:           SkyDSL
country:         DE
admin-c:         CM265-RIPE
tech-c:          XX1-RIPE
tech-c:          WB14-RIPE
status:          ASSIGNED PA
mnt-by:          STRATO-RZG-MNT
mnt-lower:       STRATO-RZG-MNT
mnt-routes:      STRATO-RZG-MNT
source:          RIPE # Filtered
person:          Christian Mueller
address:         Cronon AG
address:         Pascalstrasse 10
address:         D-10587 Berlin
address:         Germany
phone:           +49 30 398020
fax-no:          +49 30 39802222
abuse-mailbox:   abuse@strato.de
nic-hdl:         CM265-RIPE
remarks:         see also: XX1-RIPE  CM5081-NSI CM1-ABC SOUL-RIPE
mnt-by:          CRONON-MNT
source:          RIPE # Filtered
person:          Christian Xaver Mueller
address:         Cronon AG
address:         Pascalstrasse 10
address:         D-10587 Berlin
address:         Germany
phone:           +49 30 398020
fax-no:          +49 30 39 802-222
abuse-mailbox:   abuse@strato.de
nic-hdl:         XX1-RIPE
remarks:         see also: CM265-RIPE  SOUL-RIPE
mnt-by:          CRONON-MNT
source:          RIPE # Filtered
person:          Wilhelm Boeddinghaus
address:         Strato Rechenzentrum GmbH
address:         Pascalstrasse 10
address:         D-10587 Berlin
address:         Germany
phone:           +49 30 39802-0
fax-no:          +49 30 39802-222
nic-hdl:         WB14-RIPE
remarks:         see also INTERNIC: >WB131<
mnt-by:          CRONON-MNT
source:          RIPE # Filtered
% Information related to '81.169.192.0/18AS6724'
route:           81.169.192.0/18
descr:           Strato Rechenzentrum
origin:          AS6724
mnt-by:          STRATO-RZG-MNT
source:          RIPE # Filtered


"Спасите от атаки на ХТТП"
Отправлено Dimitry , 07-Ноя-06 20:10 
Это ип того интернет провайдера в котором у меня сервер ) ИП относится к спутникову интернету.
Фаервол это конечно вариант, но такие атаки бывают с разных сетей.
Вообще это похоже на баг апача, почему он принимает такие клиенты и создаёт кучу процессов в состоянии sleep.. а например не 5-10 для одного ип.
И вообще чтио за слова идут после ИП в netstat.