Moin Gemeinde,
wir stellen seit einigen Tagen den massiven Anstieg von Zugriffen auf unseren Server fest.
Zu Beginn kam es zu bis zu 50000 Zugriffen/Tag aus dem Amazon Adressbereich.
Nachdem der per .htaccess gesperrt wurde, ging es trotzdem von wechselnden Servern/Providern weiter. Heute morgen z.B. mit über 1000 Zugriffen in 5 Minuten von HANSENET-MNT 77.176.221.204, aber auch gerne mal über 10000 Zugriffe/Tag von einer einzelnen IP Inzwischen habe ich über 100 IP v4 blockiert. Aber das kann ja keine Lösung sein. Zumal es bei IP v6 imho auch nicht funktioniert.
Ich habe von dem Thema genau so viel Ahnung, wie ein Eisbärbaby.
Darum bin ich für jede Hilfe dankbar.
Massive Zugriffszahlen auf unseren Server
-
- Beiträge: 1980
- Registriert: 22. Jun 2014 00:55
Massive Zugriffszahlen auf unseren Server
_________________
Denken ist wie googeln, nur viel spannender!
Denken ist wie googeln, nur viel spannender!
Re: Massive Zugriffszahlen auf unseren Server
Mit meinem Laienwissen würde ich von einer DDoS Attacke ausgehen. Schon den Provider kontaktiert? .htaccess ist da immer nur die schlechtere Lösung.
"Das Leben wird nicht an der Anzahl unserer Atemzüge gemessen, sondern an den Momenten, die uns den Atem rauben." George Carlin
- HHGAG
- PLUS-Mitglied
- Beiträge: 2337
- Registriert: 21. Aug 2008 00:16
- Land: Deutschland
- Firmenname: H.H.G. AG (A.S.)
- Kontaktdaten:
Re: Massive Zugriffszahlen auf unseren Server
Bans über die .htaccess verhindern jedoch nur einen geringen Teil der Last auf dem Server. Sowas muss auf Netzwerk Ebene geschehen und am Besten mit einer Heuristik automatisiert passieren.
Die IP Adresse ist aus einem dynamischen Adressraum, zugeordnet ist es in die Region Mainz. Die Zugriffsanzahl von ~3/s ist noch relativ gering. Es könnte auch ein privat genutzter Crawler sein, von DDoS würde ich bei der Menge noch nicht sprechen. Aber ein Versuch könnte es sein ^^
Die IP Adresse ist aus einem dynamischen Adressraum, zugeordnet ist es in die Region Mainz. Die Zugriffsanzahl von ~3/s ist noch relativ gering. Es könnte auch ein privat genutzter Crawler sein, von DDoS würde ich bei der Menge noch nicht sprechen. Aber ein Versuch könnte es sein ^^
H.H.G. AG (A.Ş.)
Hasan H. Gürsoy (CEO, ehem. Mitentwickler xt:Commerce)
Hasan H. Gürsoy (CEO, ehem. Mitentwickler xt:Commerce)
-
- Beiträge: 1980
- Registriert: 22. Jun 2014 00:55
Re: Massive Zugriffszahlen auf unseren Server
Ja, den Provider haben wir kontaktiert. Aber für die sind die Zugriffszahlen noch nicht hoch genug. Dort hat man mir zu der .htaccess-Lösung geraten.Ralf hat geschrieben:Mit meinem Laienwissen würde ich von einer DDoS Attacke ausgehen. Schon den Provider kontaktiert? .htaccess ist da immer nur die schlechtere Lösung.
_________________
Denken ist wie googeln, nur viel spannender!
Denken ist wie googeln, nur viel spannender!
- HHGAG
- PLUS-Mitglied
- Beiträge: 2337
- Registriert: 21. Aug 2008 00:16
- Land: Deutschland
- Firmenname: H.H.G. AG (A.S.)
- Kontaktdaten:
Re: Massive Zugriffszahlen auf unseren Server
Wenn es ein root Server ist kann man auf Netzwerk Ebene eingreifen, dafür braucht es keine providerseitige Unterstützung. Das RZ wird nur dann einschreiten, wenn die Netzwerklast die zulässige Anbindung überschreitet.
H.H.G. AG (A.Ş.)
Hasan H. Gürsoy (CEO, ehem. Mitentwickler xt:Commerce)
Hasan H. Gürsoy (CEO, ehem. Mitentwickler xt:Commerce)
Re: Massive Zugriffszahlen auf unseren Server
Ich empfehle die Nutzung von iptables. Dazu brauchst du aber root-rechte.
Maximal 20 Verbindungen pro Minute von derselben IP.
Die Size, die vom Server durch einen Seiteaufbau abgefragt werden kann (z. B. 500kb), wird dadurch verhindert, wodurch die Ressourcen geschont werden.
Allerdings kann z. B. noch ein nmap durchgeführt werden (nmap -sS -p 1-65535 <ip>), und wenn dann andere Dienste laufen, dann empfielt es sich die o. g. iptables auf mehrere Ports anzuwenden oder auch auf UDP.
Maximal 20 Verbindungen pro Minute von derselben IP.
Code: Alles auswählen
/sbin/iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset
Allerdings kann z. B. noch ein nmap durchgeführt werden (nmap -sS -p 1-65535 <ip>), und wenn dann andere Dienste laufen, dann empfielt es sich die o. g. iptables auf mehrere Ports anzuwenden oder auch auf UDP.
-
- Beiträge: 1980
- Registriert: 22. Jun 2014 00:55
Re: Massive Zugriffszahlen auf unseren Server
Danke für den Tip, wir haben zwar keinen root-Zugriff, da wir einen Managed-Server bei 1und1 haben, aber dort wurde die Einrichtung gerade in Auftrag gegeben. Und bevor jetzt eine Diskussion über 1und1 losbricht, wir sind seit über 10 Jahren da und uns wurde noch immer zügig geholfen.altbau hat geschrieben:Ich empfehle die Nutzung von iptables. Dazu brauchst du aber root-rechte.
Maximal 20 Verbindungen pro Minute von derselben IP.
Ok, dass ich jetzt bis Montag warten muss ist suboptimal, aber wenn es dann eingerichtet wird, soll es mir recht sein. Im Moment läuft ja noch alles.
_________________
Denken ist wie googeln, nur viel spannender!
Denken ist wie googeln, nur viel spannender!
Re: Massive Zugriffszahlen auf unseren Server
Also mit Amazon IPs sind Alexa (Amazon) und unzählige SEO-Dienste (aus dem AWS-IP-Bereich) unterwegs. Da man keinen dieser Bots braucht, und genau genommen auch nicht will, kann man diese bekannten IP-Blöcke gut über die Firewall sperren.HHGAG hat geschrieben:Bans über die .htaccess verhindern jedoch nur einen geringen Teil der Last auf dem Server. Sowas muss auf Netzwerk Ebene geschehen und am Besten mit einer Heuristik automatisiert passieren.
Die IP Adresse ist aus einem dynamischen Adressraum, zugeordnet ist es in die Region Mainz. Die Zugriffsanzahl von ~3/s ist noch relativ gering. Es könnte auch ein privat genutzter Crawler sein, von DDoS würde ich bei der Menge noch nicht sprechen. Aber ein Versuch könnte es sein ^^
Interessant wäre der User-Agent aus dem Logfile, mit einer Regel in der .htaccess lassen sich unerwünschte Crawler, die über wechselnde IPs zugreifen, ganz einfach aussperren.
Die Crawler von diversen SEO-Tools und diverse Bad-Bots, die mit dynamischen IPs unterwegs sind, und nicht anhand des User-Agent erkannt/geblockt werden können, muss man halt laufen lassen. Alles was mit IPs von fernen Kontinenten unterwegs ist, sperre ich aber über den IP-Block des Providers aus.
Mittlerweile passiert es selten, dass ein Crawler dermaßen Amok läuft, dass er über zuviele Zugriffe un zu kurzer Zeit auffällt. Auf einem Managed Server könnte man mit Fail2Ban noch einiges situationsbezogen und vorübergehend blocken lassen, falls der Dienst auf dem Server zur Verfügung steht.
Gegen einen DDOS helfen diese Maßnahmen aber nicht.
-
- Beiträge: 1980
- Registriert: 22. Jun 2014 00:55
Re: Massive Zugriffszahlen auf unseren Server
Allen hier Danke für die Hilfe. 1und1 hat mit IPTables schnell reagiert. Problem schon seit Sonntag beseitigt.
_________________
Denken ist wie googeln, nur viel spannender!
Denken ist wie googeln, nur viel spannender!
-
- Information
-
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 55 Gäste