עומס

[תמר,]

עומס

יש לי שרת web שמקבל אלפי ניסיונות פריצה מווירוסים (כנראה) שחושבים שהוא שרת microsoft. זה יוצר לי בעיה של עומס על השרת, לפעמים עד כדי חסימת גישה לפורט 80. השאלה היא, מה הדרך הכי טובה לסנן כניסות כאלו ולגרום שלא ייצרכו משאבי מערכת. חשבתי על אפשרות להשתמש ב-mod rewrite (של apache) ולבדוק אם מחפשים קבצי exe או ספריות של nt. יש עוד דרך?

 

[תמר,]

מצאתי משהו. יש עוד רעיונות?

תרגום לאנגלית נמצא כאן.

 

[bsdfireball]

יש עוד דרך

ל- Netfilter/Iptables יש אופציה של string-matching, ככה שאפשר לחסום את כל העסק עוד ב- Firewall. אפשר לקרוא עוד בנושא פה: http://securityfocus.com/infocus/1531 לשים לב, string-matching עוד לא נכנס רשמית לקרנל, הוא נמצא ב patch-o-matic, ככה שאם זה production, לא הייתי ממליץ. -כתריאל

 

[דורון אופק]

היי תמר

זה מחשב חלש יחסית , או שיש לו מעט זיכרון ?? כי גם לי יש שרתים שחוטפים לא מעט את אותם תולעים למינהם - והשרתים פשוט לא ממש מתרגשים מזה .. אין "נפילת ביצועים" וכיוצ"ב תופעות . יכול להיות שמשום מה את "מותקפת" יותר .. לדעתי שווה לך לבדוק את כמות התקיפות הללו ביממה , ולנסות לנטר כמה זה באמת משפיע על המערכת , מכוון שיכול להיות שתופעות של אי זמינות מגרומות כתוצאה ממשהוא אחר נראה במבט ראשון , בכל מקרה אני הייתי מבצע ניטור במשך מספר ימים על כמויות התקיפות .. ומידי פעם הייתי מנטר (אפילו ידנית) את התהליכים במערכת , כדי לראות שאכן זה הגורם לבעיה .. ורק אם זה הגורם הייתי מתחיל לחשוב על פתרונות ..

 

[תמר,]

ביצועים

מדובר בפנטיום II, מהירות מעבד 300MH. bogomips: 614.40 זכרון: 256M על השרת הזה ממופות המון כתובות IP, בשביל אפשרויות עדכון דרך ה-web עם mod_dav (לא מומלץ

), וכל הכתובות הנ"ל מותקפותת, אעפ"י שהן לא "מפורסמות", ואמורות להיות מוכרות לאנשים מסויימים בלבד. ההתקפות תוקעות את ה-apache, מכיוון שהן גורמות לכך שלא יוכלו להתחבר אליו (הגבלת clients). עכשיו כשאני כותבת, אני יכולה לחשוב על כמה פתרונות כמו: המרה מ-mod_dav ל-ftp (יכול ליצור בעיות עם הלקוחות ועם ההרשאות על הקבצים, ומפחיד אותי קצת בגלל התקפה בעבר על הפורט הזה) או: העברה של חלק מה-ips לפורט גבוהה יותר (גם בעייתי עם הלקוחות)

 

[lizard]

מה זה

mod_dav ? תודה מיכה

 

[תמר,]

mod_dav

זה מודול ל-apache שמאפשר upload בעזרת ספריות web של חלונות. אתה יכול לקורא על זה כאן.

 

[lizard]

סגנון

microsoft frontpage server ?

 

[תמר,]

כנראה אותו סגנון

ראיתי הערה על זה ב-freshmeat

 

[lizard]

אם הבנתי נכון ההתקפות קורות בגלל

שהמתקיפים חושבים שזה שרת פרונטפייג או משהו כזה. הרעיון הכי טוב שיש לי (שלא מצריך הרבה עבודה) הוא פשוט לשנות את הפורטים של הMOD_DAV כמו שאמרת. צריך לעדכן את כל הלקוחות אבל, ce la vie (או משהו כזה

) מיכה

 

[תמר,]

c´est la vie ../images/Emo13.gif

לא מדוייק - כי השרת לא מצהיר על עצמו כשרת microsoft, אלא מקבל פרוטוקול שגם microsoft מקבלת (ושם זה גם פרוץ יותר). גם הגישות לשרת הן לא בגלל התפקוד הנ"ל, אלא בגלל תולעים למיניהם, שפשוט מנסות לפרוץ לכל שרת, לא משנה אם הוא microsoft או לא. בינתיים השתמשתי במשהו דומה להודעה השניה שלי, ז"א שכל ניסיון פריצה ל-NT נדחה (למען הדיוק, אני שולחת את הפורצים ל-microsoft), ובנוסף אני לא כותבת את הכניסות בלוגים, ועוצרת את המשך הביצוע. הזמן יגיד אם זה עוזר.

 

[lizard]

מגניב

אשמח לדעת איך עשית זאת. מיכה

 

[תמר,]

תסתכל בהודעה שלי - "מצאתי משהו"