¿Esto parece un ataque DDOS?

2

Puse una pequeña prueba de concepto web api en la infraestructura de AWS (elastic beanstalk) usando su nivel gratuito. Mi aplicación funciona bien, pero veo mucho de esto en los registros de acceso:

172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "149.100.171.172"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "2.227.202.134"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "93.44.33.132"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "93.37.77.196"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "151.62.133.102"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "95.249.219.42"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "2.34.37.138"

Estoy viendo aproximadamente 7 hits por segundo, y siempre es un POST a /device/enabler/linear . La URL no es parte de mi aplicación en absoluto. He invertido el DNS en algunos de los IP, y todos parecen ser de ISPs italianos (no estoy seguro si eso es relevante).

No es un problema masivo en este momento, ya que no impide que mi aplicación funcione (¿no estoy realmente seguro de que cuente como ddos?), pero es una molestia y me ha llevado a retirar el servicio (por lo que posiblemente ha tenido éxito). Y empezará a costarme dinero en algún momento porque los registros de acceso se escriben mucho más rápido de lo que anticipé, por lo que excederé las S3 que hay en el plan gratuito.

Estoy en el proceso de averiguar cómo configurar el firewall AWS EC2 (creo que eso es lo que necesito configurar para permitir el acceso desde mi cliente)

¿Alguien ha visto este tipo de cosas antes? ¿Podría ser un ddos? ¿Alguien ha visto éxitos en esta URL de esta manera? (Busqué en Google y la he dejado en blanco)

Aprecie cualquier consejo que alguien pueda ofrecer;

    
pregunta Nathan Russell 18.06.2017 - 12:58
fuente

1 respuesta

2
  

No es un problema masivo en este momento ya que no impide que mi aplicación   trabajando (¿no estoy seguro de que cuente como ddos?)

vamos a establecer algunas definiciones

Denegación de servicio: si el ataque no ha denegado el servicio, no es DoS ni DDoS. Puede ser abusivo, pero eso no sería lo mismo.

Supuesto

  • 93.44.33.132, 2.227.202.134, 93.37.77.196, 151.62.133.102, 95.249.219.42 y 2.34.37.138 tienen una reputación negativa, dice symantec .

  • Con respecto a un ataque DDoS, 7 solicitudes por segundo no son muchas. El tamaño de la solicitud de publicación podría ser una pista. Por ejemplo, si el tamaño es mayor que 1 mes, sí, puede ser un intento DDoS.

  • Los números 403 y 362. Suponiendo que esos números son un código de respuesta, parece que su aplicación está negando el acceso con un 403 Prohibido, 362 puede indicar por qué el acceso está prohibido. < - podría estar equivocado con este punto.

  • Entonces, ¿qué tenemos? Sabemos que algunos IP de baja reputación están realizando 7 solicitudes POST / seg. En una URL que no existe. Desde mi experiencia, no tenemos suficiente información para determinar si este patrón es un ataque DDoS. Tenemos que profundizar más.

Profundizando

Para una mayor investigación, comenzaré por buscar tres solicitudes de publicación completas y sus respuestas (con una IP de origen diferente).

el objetivo es:

  • Conozca el tamaño de las 3 solicitudes / respuestas.
  • Encuentre cualquier carga útil en el encabezado o contenido de la solicitud.
  • qué datos están publicando esas solicitudes.
  • cuáles son las respuestas y cómo su aplicación maneja esas solicitudes.

No en el rango de preguntas

Saber si un proxy inverso está presente entre el cliente y la aplicación también podría ser interesante. Por ejemplo, esas solicitudes pueden dirigirse al proxy y no a la aplicación, con el propósito de envenenar la memoria caché.

    
respondido por el Baptiste 19.06.2017 - 11:06
fuente

Lea otras preguntas en las etiquetas