¿Es este un síntoma de un ataque (DoS / DDoS)?

5

Trabajo para un sitio web de comercio electrónico en mi país y esta es la segunda vez que sufrimos un ataque. Al menos, parece uno.

Tenemos una función de búsqueda en nuestro sitio web y el supuesto atacante está enviando muchas solicitudes directamente a nuestra búsqueda. Ahora mismo nos está bajando, ya que se trata de un cuello de botella (base de datos). Estamos trabajando para ampliarlo (llevando la búsqueda de la base de datos a lucene), por lo que este tráfico no debería ser un problema en el futuro.

Todas las solicitudes provienen de una docena de direcciones IP repartidas entre los nombres de host de Amazon AWS de Alemania y Alemania, pero como los términos de consulta que están usando no tienen ninguna relación (están pasando secuencias de números y nombres completos extraños) a nuestro negocio, tengo que pensar Si esto es realmente un ataque.

¿Alguna idea sobre esto?

Gracias

    
pregunta tucaz 01.02.2012 - 12:38
fuente

3 respuestas

5

Desde el resumen de su problema, si está causando el consumo de recursos, incluso si este no es un 'ataque' malvado, todavía le está causando una condición de Denegación de Servicio y tiene razón en volver a visitar su arquitectura.

Sin embargo, en términos de la identificación de esto como un ataque, necesitaría investigar los términos de la consulta más a fondo, para comprender si alguno de ellos es un intento de realizar ataques basados en inyección (como los scripts entre sitios (XSS) / SQL). Inyección etc.). El alto volumen de números y nombres podría utilizarse para crear ruido y ocultar intentos maliciosos.

También debe buscar tendencias dentro de los datos para identificar si esto es potencialmente un esfuerzo coordinado y, por lo tanto, clasificar todo el tráfico malo como el mismo o si tiene un subconjunto específico de tráfico malo en el que puede concentrarse.

    
respondido por el David Stubley 01.02.2012 - 14:14
fuente
3

Si ve que "docenas" de IP le envían solicitudes número 1,000 en un intervalo de pocos segundos / minutos, es más probable que sufra un ataque de DOS.

Sólo una docena de direcciones IP no lo llamaría DDOS.

Pero es posible que se esté preparando para algo más grande.

    
respondido por el AaronS 01.02.2012 - 14:11
fuente
0
  

Todas las solicitudes provienen de una docena de direcciones IP distribuidas en alemán y   Los nombres de host de Amazon AWS de EE. UU., Pero como los términos de consulta que están usando son   No del todo sin relación (son secuencias de números que pasan y   nombres completos raros) para nuestro negocio, tengo que pensar si esto es realmente un   ataque.

A primera vista, parece típico de un ataque de inundación usando servidores proxy y colocando solicitudes de tipo de acción repetidas o indirectas en su servidor web con el objetivo de buscar términos que causen la mayor cantidad de resultados de búsqueda, por lo que consumen la mayor cantidad de uso de CPU como sea posible del servidor de base de datos.

Los números de secuencia podrían ser un ejercicio para romper la memoria caché, ya que el problema con el uso de servidores proxy es que muchos de ellos almacenan en caché para que el atacante quiera que cada envío sea una solicitud real en su servidor web.

Un ejemplo podría ser www.yoursite.com/?searchword=aeroplanes&randomfieldname=100001

Si bien el servidor web ignorará el nombre de campo aleatorio porque no lo está buscando, tomará el valor de la palabra de búsqueda y aplicará la solicitud.

Sin embargo, un proxy de almacenamiento en caché verá lo siguiente

www.yoursite.com/?searchword=aeroplanes&randomfieldname=100001

www.yoursite.com/?searchword=aeroplanes&randomfieldname=100002

www.yoursite.com/?searchword=aeroplanes&randomfieldname=100003

www.yoursite.com/?searchword=aeroplanes&randomfieldname=100004

etc

como nuevas solicitudes, por lo tanto, siempre pase la solicitud a su servidor aunque la palabra de búsqueda no haya cambiado.

Este es un ejemplo de un ataque con martillo.

Sin embargo, normalmente, las herramientas de Hammer son básicas, ya que pueden no comprender una validación más avanzada de una solicitud legítima. Por ejemplo, una solicitud de búsqueda validada podría significar utilizar la validación de imagen, o exigir una respuesta de cookie, o incluso exigir que el navegador de visualización entienda javascript para ejecutar una solicitud de búsqueda válida.

Sin embargo, estas comprobaciones de seguridad adicionales pueden ser molestas para los espectadores de sitios legítimos, por ejemplo, la validación de imágenes.

Eche un vistazo a clase CMS CMS de jabón de inteligencia de contador para obtener ideas de cómo el autor está utilizando una combinación inteligente de sesiones y javascript para exigir que el navegador de visualización entienda js antes de aceptar la solicitud de página. Entonces se inicia un contador de solicitudes y se le niega el acceso a la dirección IP si las solicitudes son demasiado frecuentes ... es decir. como suele ser el caso en los ataques de martillo.

Aunque esa clase fue escrita hace casi una década, sus conceptos son tan válidos hoy como el día en que fueron escritos, aunque es necesario que se actualicen a los últimos estándares de codificación de PHP.

    
respondido por el Taipo 03.02.2012 - 08:13
fuente

Lea otras preguntas en las etiquetas