Botnet que intenta iniciar sesión en el sitio web

1

Nuestro servidor se ha convertido recientemente en un objetivo de lo que parece ser un ataque de botnet. La primera indicación fue una cantidad insana de tráfico a uno de los sitios web de nuestros clientes, tan pesado que el servidor dejó de responder por completo. Creo que tuvimos cerca de 200 solicitudes en cola en el servidor cuando lo verifiqué.

Llegué a la conclusión de que es una red de bots porque cada IP envía como máximo 3 solicitudes. Estas solicitudes parecen estar dirigidas a páginas de inicio de sesión / registro. Originalmente, eran páginas de información del usuario que obligaban a los usuarios (/ user / lkjasd) a ver si existía el usuario, y luego intentaban iniciar sesión como si no fuera así.

Mi respuesta inicial fue establecer algunas RewriteRules para ese VHost que detectó todas las páginas de inicio de sesión / registro / usuario y enviar 403 inmediatamente (solo los administradores inician sesión en este sitio, y eso es poco frecuente). Esto ha eliminado la carga de nuestro servidor debido a la rápida respuesta, por lo que todos nuestros sitios están respaldados.

Sin embargo, ahora llevo 3 días en esa solución y los ataques no han disminuido. Han eliminado la mayoría de los ataques de inicio de sesión / registro, y ahora están enviando solicitudes GET y POST a mi página de inicio, con el referente establecido como / usuario / inicio de sesión. Supongo que este es un intento de secuestrar una sesión o engañar al sitio para que piense que acaban de iniciar sesión.

Obviamente no puedo configurar una RewriteRule en 403 en la página de inicio, así que, ¿de qué otra manera puedo defenderme de esto? El tráfico no es insoportable, pero me inquieta simplemente dejarlos correr, y estoy un poco nervioso por la factura de mi ancho de banda al final del mes.

    
pregunta jwegner 12.04.2013 - 14:58
fuente

1 respuesta

4

Es casi imposible prevenir o detener un ataque DDoS a nivel local.

Recomiendo encarecidamente el uso de un servicio como CloudFlare que tiene como objetivo mitigar los ataques DDoS. Otra alternativa es coordinar con su ISP para eliminar el tráfico DDoS.

El reciente Spamhaus DDoS attack demuestra cuán efectivo es Un servicio como CloudFlare puede ser para mitigar ataques DDoS a gran escala. Si bien la cantidad de ancho de banda que se lanza al objetivo es suficiente para casi abrumar incluso a los puntos de intercambio de Internet , el sitio de destino permaneció accesible. a lo largo del ataque.

Editar: Al volver a leer tu pregunta, parece que solo unos pocos administradores pueden acceder a tu página de inicio de sesión. En ese caso, requerir una VPN para acceder a la página de inicio de sesión podría hacer el truco. Sin embargo, mi punto anterior sigue en pie, si un atacante suficientemente decidido está dispuesto a expandir los recursos en su sitio, solo puede mitigar los ataques a través de un servicio como CloudFlare.

    
respondido por el Ayrx 12.04.2013 - 15:00
fuente

Lea otras preguntas en las etiquetas