Для меня это впервые. Один из сайтов, которым я управляю, недавно подвергся атаке. Совсем не интеллектуальная атака - чистая грубая сила - поражает каждую страницу и каждую не-страницу со всеми возможными расширениями. Отправлено с мусорными данными в каждую форму и попытался отправить по некоторым случайным URL-адресам. Всего тод, 16000 запросов за час.
Что мне делать, чтобы предотвратить / предупредить подобное поведение? Есть ли способ ограничить количество запросов в час для данного IP / клиента?
Есть ли место, куда я должен сообщить пользователю? Похоже, они из Китая и оставили то, что похоже на действительное электронное письмо.
Какое программное обеспечение вы используете на своем сайте? Эти поля для комментариев созданы на заказ или в каком-то популярном программном пакете? В большинстве популярных пакетов есть плагины, помогающие победить (известных) спам-ботов. Если он настроен на заказ, добавление CAPTCHA определенно поможет сократить спам.
Кроме того, если вы знаете IP-адрес «пользователя», заблокируйте его со своего сайта (если у вас есть такая возможность) и сообщите об этом на свой веб-хост (при условии, что вы размещены в удаленной компании). Ваш хост будет (читай: должен) быть доволен заблокировать 16 000 лишних запросов. Особенно, если вы находитесь на общем хосте, так как это может повлиять на производительность других клиентов.
сначала попытайтесь выяснить, что они сделали. Удалось ли им внедрить код или SQL? Они изменили вашу БД? Это они получают доступ к данным, к которым у них не должно быть доступа?
Ваши описания звучат так, будто они совершили лишь несколько случайных «атак», не причинив реального вреда. В этом случае попробуйте создать защиту от тех атак, от которых вы еще не защищены. Так что вооружите свой форум несколькими капчами.
Предотвращение: могут помочь капчи. Есть также инструменты, которые проверяют ваш сайт на наличие проблем с безопасностью. Вы можете использовать такой инструмент.
Предупреждение / ограничение: зависит от среды и вашего хостера. Вы всегда можете добавить проверку IP на свои страницы и просто вернуть отказ в доступе для определенных IP-адресов, но а) я предполагаю, что IP-адрес не будет исправлен, и в следующий раз кто-то невиновный получит IP-адрес и б) часто за спиной несколько пользователей один IP (прокси компании). Так что блокировка IP не кажется хорошей идеей.
Если вы используете Linux, iptables дает вам большую свободу выбора политики для регулирования новых подключений с IP-адресов или диапазонов IP-адресов. Пытаться:
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 120/minute -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP
Я считаю, что блокировка IP - хорошая идея. Captcha может предотвратить спам, но 16000 запросов в час сильно увеличивают нагрузку на сервер.
Если бы атака исходила с ограниченного диапазона IP-адресов, я бы просто заблокировал их все в iptables. Затем разблокируйте их через неделю.
Если у вас его еще нет, убедитесь, что ваш сайт регистрирует IP-адреса. Вы можете сделать бесплатный IP-адрес WHOIS на www.dnstuff.com, чтобы узнать, откуда, по мнению IANA, исходит IP-адрес. Во многих случаях он также предоставляет регистратора или интернет-провайдера для IP-адреса, и вы можете связаться с ними напрямую, чтобы сообщить об этом.
Очевидно, вы можете временно заблокировать IP-адрес, единственная проблема заключается в том, что многие интернет-провайдеры используют DHCP-адреса, и даже если у злоумышленника есть этот IP-адрес сегодня, завтра он может быть другим, и, что более важно, законный пользователь может получить заблокированный IP-адрес.
Где размещен ваш сайт? Если атака произошла в течение некоторого периода времени, скажем, 10 минут, она должна была вызвать где-то сигнал DDOS, поскольку нормальный объем сайта, вероятно, не так много запросов за этот короткий период времени. Такие устройства, как Barracuda, предназначены для блокировки таких запросов, когда они поступают слишком быстро. В IIS также есть аналогичная функция, при которой, если одновременно поступает слишком много запросов, он будет думать, что подвергается атаке, и во многих случаях сбрасывает соединения. Многие поисковые системы SharePoint имеют эту проблему, потому что индексатор поиска очень быстро запрашивает множество данных.
Надеюсь, это немного поможет или даст вам представление о том, на что смотреть. Вы можете добавить CAPTCHA и другие вещи на сайт, но, в конце концов, подобные атаки сводятся к TCP / IP и устройствам, которые распознают атаку и предотвращают или уничтожают ее, ваш веб-сайт может только защитить себя.