Всем привет!
Мой апач иногда атакуют, забивается всё число клиентов апача (200 процессов)
при этом апачь не обрабатывает запросы других пользователей
Кто нибуть знает что это за атака и как бороться с ней??netstat говорит следующее... (*** - мой домен естесно)
tcp 0 0 ***.com:www-http 81.169.233.123:4333 TIME_WAIT
tcp 0 0 ***.com:www-http 81.169.233.1:kmscontrol ESTABLISHED
tcp 0 0 ***.com:www-http 81.169.233.123:hsrpv6 ESTABLISHED
tcp 0 413 ***.com:www-http 81.169.233.123:vpac FIN_WAIT1
tcp 0 0 ***.com:www-http dialup83.m-d:codima-rtp ESTABLISHED
tcp 0 0 ***.com:www-http 81.169.233:nas-metering ESTABLISHED
tcp 0 0 ***.com:www-http 81.169.233.123:vpvd TIME_WAIT
tcp 0 0 ***.com:www-http 81.169.23:global-dtserv TIME_WAIT
tcp 0 493 ***.com:www-http 81.169.233.123:dka CLOSING
tcp 0 0 ***.com:www-http 81.169.233.123:vpvc TIME_WAIT
tcp 0 0 ***.com:www-http 81.169.233:mobrien-chat ESTABLISHED
tcp 0 0 ***.com:www-http 81.169.233.12:lnvpoller ESTABLISHED
tcp 0 0 ***.com:www-http 81.169.233.123:cft-7 ESTABLISHED
>Всем привет!
>Мой апач иногда атакуют, забивается всё число клиентов апача (200 процессов)
>при этом апачь не обрабатывает запросы других пользователей
>Кто нибуть знает что это за атака и как бороться с ней??
>
>
>netstat говорит следующее... (*** - мой домен естесно)
>
>tcp 0
> 0 ***.com:www-http 81.169.233.123:4333 TIME_WAIT
>
>tcp 0
> 0 ***.com:www-http 81.169.233.1:kmscontrol ESTABLISHED
>tcp 0
> 0 ***.com:www-http 81.169.233.123:hsrpv6 ESTABLISHED
>tcp 0
>413 ***.com:www-http 81.169.233.123:vpac FIN_WAIT1
>tcp 0
> 0 ***.com:www-http dialup83.m-d:codima-rtp ESTABLISHED
>tcp 0
> 0 ***.com:www-http 81.169.233:nas-metering ESTABLISHED
>tcp 0
> 0 ***.com:www-http 81.169.233.123:vpvd TIME_WAIT
>
>tcp 0
> 0 ***.com:www-http 81.169.23:global-dtserv TIME_WAIT
>tcp 0
>493 ***.com:www-http 81.169.233.123:dka CLOSING
>tcp 0
> 0 ***.com:www-http 81.169.233.123:vpvc TIME_WAIT
>
>tcp 0
> 0 ***.com:www-http 81.169.233:mobrien-chat ESTABLISHED
>tcp 0
> 0 ***.com:www-http 81.169.233.12:lnvpoller ESTABLISHED
>tcp 0
> 0 ***.com:www-http 81.169.233.123:cft-7 ESTABLISHED
убей с помощью firewall всю атакующую сеть
example iptables:
iptables -A INPUT -i eth0 -s 81.169.233.0/24 -j DROPможешь написать грозное письмо или позвонить :) хозяину адресов:
% Information related to '81.169.224.0 - 81.169.239.255'
inetnum: 81.169.224.0 - 81.169.239.255
netname: SKYDSL1
descr: SkyDSL
country: DE
admin-c: CM265-RIPE
tech-c: XX1-RIPE
tech-c: WB14-RIPE
status: ASSIGNED PA
mnt-by: STRATO-RZG-MNT
mnt-lower: STRATO-RZG-MNT
mnt-routes: STRATO-RZG-MNT
source: RIPE # Filtered
person: Christian Mueller
address: Cronon AG
address: Pascalstrasse 10
address: D-10587 Berlin
address: Germany
phone: +49 30 398020
fax-no: +49 30 39802222
abuse-mailbox: abuse@strato.de
nic-hdl: CM265-RIPE
remarks: see also: XX1-RIPE CM5081-NSI CM1-ABC SOUL-RIPE
mnt-by: CRONON-MNT
source: RIPE # Filtered
person: Christian Xaver Mueller
address: Cronon AG
address: Pascalstrasse 10
address: D-10587 Berlin
address: Germany
phone: +49 30 398020
fax-no: +49 30 39 802-222
abuse-mailbox: abuse@strato.de
nic-hdl: XX1-RIPE
remarks: see also: CM265-RIPE SOUL-RIPE
mnt-by: CRONON-MNT
source: RIPE # Filtered
person: Wilhelm Boeddinghaus
address: Strato Rechenzentrum GmbH
address: Pascalstrasse 10
address: D-10587 Berlin
address: Germany
phone: +49 30 39802-0
fax-no: +49 30 39802-222
nic-hdl: WB14-RIPE
remarks: see also INTERNIC: >WB131<
mnt-by: CRONON-MNT
source: RIPE # Filtered
% Information related to '81.169.192.0/18AS6724'
route: 81.169.192.0/18
descr: Strato Rechenzentrum
origin: AS6724
mnt-by: STRATO-RZG-MNT
source: RIPE # Filtered
Это ип того интернет провайдера в котором у меня сервер ) ИП относится к спутникову интернету.
Фаервол это конечно вариант, но такие атаки бывают с разных сетей.
Вообще это похоже на баг апача, почему он принимает такие клиенты и создаёт кучу процессов в состоянии sleep.. а например не 5-10 для одного ип.
И вообще чтио за слова идут после ИП в netstat.