আমি নিশ্চিত যে আমি স্লোলোরিসের আক্রমণে ছিলাম। আমি আমার ওয়েবসারভারের সাথে সর্বাধিক সংযোগ সীমাবদ্ধ করার জন্য একটি আইপটেবল নিয়ম স্থাপন করেছি, তবে আমি জানতে চাই যে এটি কীভাবে সত্যিকার অর্থে স্লোলোরিস আক্রমণ ছিল কিনা তা আমি কীভাবে সনাক্ত করতে পারি এবং যদি তাই হয় তবে কীভাবে আমি আক্রমণকারীর আইপি ঠিকানাটি সন্ধান করতে পারি। আমি সত্যিই তার আইএসপিতে লগগুলি পাস করতে চাই।
ধন্যবাদ
উত্তর:
স্লোরিরিস আক্রমণ যতটা সম্ভব ধীরে ধীরে অনুরোধ ডেটা পাঠিয়ে কাজ করে। অতএব, যদি আপনি প্রতি আইপি ঠিকানায় ব্যান্ডউইথের ব্যবহারটি পরিমাপ করতে পারেন তবে এটি যদি কিছু প্রান্তিকের নীচে থাকে ((পরিচিত স্লোরিরিস আক্রমণে ব্যান্ডউইদথ পরিমাপ করে পাওয়া যায়)) তবে আপনি জানেন যে আপনি আক্রমণে রয়েছেন।
আক্রমণ প্রতিরোধ করতে, আমি আপনার ওয়েবসার্ভার সফ্টওয়্যারটি পরিবর্তন করার পরামর্শ দেব। আমি চেরোকি ব্যবহার করি যা এটির ডিফল্ট কনফিগারেশনে প্রতিরোধী। এনজিনেক্স দুর্বল কিনা তা আমি নির্ধারণ করতে পারি না, তবে লাইটটিপিডি হয়। আমিও নিশ্চিত হতে পারি না যে প্রক্সি হিসাবে একটি প্রতিরোধী ওয়েবসার্ভার ব্যবহার করা কোনও তাত্পর্য ফেলবে।
এখানে আরও তথ্য: http://ha.ckers.org/blog/20090617/slowloris-http-dos/
স্তর 1: সাধারণ স্লোলেরিস ডস
স্লোলেরিস আক্রমণকারীটির আইপি ঠিকানাটি খুঁজতে আমি নীচের কমান্ড লাইনটি ব্যবহার করি:
netstat -ntu -4 -6 | awk '/^tcp/{ print $5 }' | sed -r 's/:[0-9]+$//' | sort | uniq -c | sort -n
এটি আপনাকে প্রতিটি সংযুক্ত আইপি-র জন্য সক্রিয় সংযোগের সংখ্যা দেবে
আপনি যদি কোনও সাধারণ ডস আক্রমণে থাকেন তবে এক বা কয়েকটি আইপি সহ একটি কিডি, ৫০-১০০ সংযোগ (বা আরও বেশি) সহ একটি সম্ভবত আপনি বাদ দিতে পারেন এমন একটি স্লোরিরিস আক্রমণকারী।
এটি আক্রমণের সময় আপনি যদি সার্ভারের সাথে সংযুক্ত থাকেন তবে এটি "রিয়েল টাইম" সনাক্ত করতে এবং ছাড়তে হবে ables
আপনার অ্যাপাচি লগগুলিতে প্রক্রিয়াকরণের সময় (% ডি বা% টি আর্গুমেন্ট) যুক্ত করা লগগুলি বিশ্লেষণ করে স্লোরিরিস আক্রমণ "পোস্টমর্টেম" সনাক্ত করতেও সহায়তা করতে পারে, যদি আপনার লগগুলিতে এই তথ্য না থাকে তবে আপনি আকর্ষণীয় কিছু খুঁজে পেতে সক্ষম হবেন না । লগ কনফিগারেশনের জন্য http://httpd.apache.org/docs/current/mod/mod_log_config.html দেখুন ।
স্তর 2: আসল বড় স্লোলেরিস ডিডিওএস
নেটস্প্যাট (রিফ্রেশের জন্য ওয়াট নেটস্ট্যাট ব্যবহার করুন) এখনও আপনাকে দেখতে সাহায্য করতে পারে যে কিছু আইপি সর্বদা সংযুক্ত থাকে
স্লোলোরিসের সাথে লড়াই করতে, অ্যাপাচে, রেকটাইমআউট মডিউলগুলি ইনস্টল করুন এবং সেট আপ করুন, উদাহরণস্বরূপ:
এর পরে, অ্যাক্সেস_লগে আপনি প্রতি 408 টি দেখতে পাবেন 99.999% নিশ্চিত একটি স্লোলেরিস আক্রমণকারী আইপি।
রেকটাইম আপাচি মডিউলটি ব্যবহার করে, আপনি সহজেই একটি শালীন ডেডিকেটেড সার্ভারে হাজার হাজার আইপি এবং হাজার প্যাকেট / সেকেন্ডের বিরুদ্ধে দাঁড়াতে পারেন
Iptables এছাড়াও যেমন কিছু সাহায্য করতে কিছুটা সাহায্য করতে পারে:
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j DROP