Moin Gemeinde,

wir stellen seit einigen Tagen den massiven Anstieg von Zugriffen auf unseren Server fest.

Zu Beginn kam es zu bis zu 50000 Zugriffen/Tag aus dem Amazon Adressbereich.

Nachdem der per .htaccess gesperrt wurde, ging es trotzdem von wechselnden Servern/Providern weiter. Heute morgen z.B. mit über 1000 Zugriffen in 5 Minuten von HANSENET-MNT 77.176.221.204, aber auch gerne mal über 10000 Zugriffe/Tag von einer einzelnen IP Inzwischen habe ich über 100 IP v4 blockiert. Aber das kann ja keine Lösung sein. Zumal es bei IP v6 imho auch nicht funktioniert.

Ich habe von dem Thema genau so viel Ahnung, wie ein Eisbärbaby.

Darum bin ich für jede Hilfe dankbar.

Mit meinem Laienwissen würde ich von einer DDoS Attacke ausgehen. Schon den Provider kontaktiert? .htaccess ist da immer nur die schlechtere Lösung.

Bans über die .htaccess verhindern jedoch nur einen geringen Teil der Last auf dem Server. Sowas muss auf Netzwerk Ebene geschehen und am Besten mit einer Heuristik automatisiert passieren.

Die IP Adresse ist aus einem dynamischen Adressraum, zugeordnet ist es in die Region Mainz. Die Zugriffsanzahl von ~3/s ist noch relativ gering. Es könnte auch ein privat genutzter Crawler sein, von DDoS würde ich bei der Menge noch nicht sprechen. Aber ein Versuch könnte es sein ^^

Ralf hat geschrieben:Mit meinem Laienwissen würde ich von einer DDoS Attacke ausgehen. Schon den Provider kontaktiert? .htaccess ist da immer nur die schlechtere Lösung.

Ja, den Provider haben wir kontaktiert. Aber für die sind die Zugriffszahlen noch nicht hoch genug. Dort hat man mir zu der .htaccess-Lösung geraten.

Wenn es ein root Server ist kann man auf Netzwerk Ebene eingreifen, dafür braucht es keine providerseitige Unterstützung. Das RZ wird nur dann einschreiten, wenn die Netzwerklast die zulässige Anbindung überschreitet.

Ich empfehle die Nutzung von iptables. Dazu brauchst du aber root-rechte.

Maximal 20 Verbindungen pro Minute von derselben IP.
Die Size, die vom Server durch einen Seiteaufbau abgefragt werden kann (z. B. 500kb), wird dadurch verhindert, wodurch die Ressourcen geschont werden.

Allerdings kann z. B. noch ein nmap durchgeführt werden (nmap -sS -p 1-65535 <ip>), und wenn dann andere Dienste laufen, dann empfielt es sich die o. g. iptables auf mehrere Ports anzuwenden oder auch auf UDP.

altbau hat geschrieben:Ich empfehle die Nutzung von iptables. Dazu brauchst du aber root-rechte.

Maximal 20 Verbindungen pro Minute von derselben IP.

Danke für den Tip, wir haben zwar keinen root-Zugriff, da wir einen Managed-Server bei 1und1 haben, aber dort wurde die Einrichtung gerade in Auftrag gegeben. Und bevor jetzt eine Diskussion über 1und1 losbricht, wir sind seit über 10 Jahren da und uns wurde noch immer zügig geholfen.

Ok, dass ich jetzt bis Montag warten muss ist suboptimal, aber wenn es dann eingerichtet wird, soll es mir recht sein. Im Moment läuft ja noch alles.

HHGAG hat geschrieben:Bans über die .htaccess verhindern jedoch nur einen geringen Teil der Last auf dem Server. Sowas muss auf Netzwerk Ebene geschehen und am Besten mit einer Heuristik automatisiert passieren.

Die IP Adresse ist aus einem dynamischen Adressraum, zugeordnet ist es in die Region Mainz. Die Zugriffsanzahl von ~3/s ist noch relativ gering. Es könnte auch ein privat genutzter Crawler sein, von DDoS würde ich bei der Menge noch nicht sprechen. Aber ein Versuch könnte es sein ^^

Also mit Amazon IPs sind Alexa (Amazon) und unzählige SEO-Dienste (aus dem AWS-IP-Bereich) unterwegs. Da man keinen dieser Bots braucht, und genau genommen auch nicht will, kann man diese bekannten IP-Blöcke gut über die Firewall sperren.

Interessant wäre der User-Agent aus dem Logfile, mit einer Regel in der .htaccess lassen sich unerwünschte Crawler, die über wechselnde IPs zugreifen, ganz einfach aussperren.

Die Crawler von diversen SEO-Tools und diverse Bad-Bots, die mit dynamischen IPs unterwegs sind, und nicht anhand des User-Agent erkannt/geblockt werden können, muss man halt laufen lassen. Alles was mit IPs von fernen Kontinenten unterwegs ist, sperre ich aber über den IP-Block des Providers aus.

Mittlerweile passiert es selten, dass ein Crawler dermaßen Amok läuft, dass er über zuviele Zugriffe un zu kurzer Zeit auffällt. Auf einem Managed Server könnte man mit Fail2Ban noch einiges situationsbezogen und vorübergehend blocken lassen, falls der Dienst auf dem Server zur Verfügung steht.

Gegen einen DDOS helfen diese Maßnahmen aber nicht.

Allen hier Danke für die Hilfe. 1und1 hat mit IPTables schnell reagiert. Problem schon seit Sonntag beseitigt.