DDoS abwehren bei 3500 Anfragen pro Sekunde

Hallo,

ein guter freund von mir betreibt eine Community mit ca 600 aktiven User.

Seit den letzten Tagen werden aber verstärkt DDoS angriffe auf die Seite gefahren.
Die Angriffe laufen entweder nach den Schema ab, dass Anfragen gestellt werden, die der Apache zwar bearbeiten kann aber der MySQL dahinter zu tun hat (überlange suchanfragen, auflistenung von Membernlisten u.ä) und somit den ganzen Server in die Knie zwingt

oder:

Das einfach 3500 unique Anfragen innerhalb kurzer zeit 60 bis 90 Sekunden anfragen eintrudeln und den Apache somit in die Knie zwingt und keinerlei andere Request beantwortet werden können, dabei kommen HTTP Get anfragen zum einsatz.

Wie kann man sich dagegen am besten wehren?

es ist ein root server mit linux

Thx für antworten
 
Solange der Apache noch damit klarkommt, aber PHP/MySQL nicht: Meiner Erfahrung nach kann man das DDoS oft durch simples blocken aller Clients ohne User-Agent leicht überstehen.

Wenn der Apache nicht mehr mitspielt, sehe ich, wenn das DDoS wirklich von verschiedensten Angreifern kommt, keine Chance (sollten die Requests nur von wenigen IPs kommen, könnte man sie mit iptables blocken).
 
Es gibt genug Möglichkeiten sich gegen DDoS zu schützen. Wenn möglich den SSL-Port schliessen, da über SSL ein Server leicht überlastet werden kann, wobei das beim Apache 2.2. auch nicht mehr so einfach ist. Dann im Webserver mod_evasive aktivieren. Damit lassen sich die Anzahl der Anfragen, die ein Client stellen kann, begrenzen. Stellt ein Client zuviele bekommt er nur noch einen 301er ausgeliefert, womit eine Menge Last weggenommen wird. Und natürlich kann auch eine Policy-Firewall wie APF weiter helfen. Unter http://www.topwebhosts.org/tools/apf-bfd-ddos-rootkit.php gibt's Infos dazu. Hilft das nicht, kann DDoS-Deflate zumeist etwas ausrichten: http://deflate.medialayer.com/ Und er soll mal einen Blick in die Logs werfen. Oftmals kommen die Clients ohne Browser-ID bei DDoS-Angriffen. Sollte das der Fall sein, kann er einfach eine entsprechende Rewrite-Regel in den Webserver setzen, die die Clients auf eine leere Seite umleitet.
 
danke für die infos.

also die anfragen werden mit unterschiedlichsten und gängstens browser varianten gemacht (safari,ff 3.5,ie 7) also die blocken würde nix bringen.

wir werden mal die 2 links durchkauen :)
 
Die User-Agents werden dann wohl per Zufallsprinzip aus einem Pool von verbreiteten Browser-Kennungen genommen...
und von wievielen unterschiedlichen IPs kommen die Angriffe? Kommt jede Anfrage von 'ner anderen IP oder alle von der gleichen?
 
Ich würde an der Stelle dann einen Cronjob erstellen der sämtliche IPs überprüft ob sie auf bestimmte Ports anspringen.. Damit sind Bots gemeint, die sich als Proxy tarnen, diese würden dann direkt in die Blacklist landen.

Am effektivsten ist wohl die Methode, die schon bitmuncher beschrieben hat.

bitmuncher hat gesagt.:
Dann im Webserver mod_evasive aktivieren. Damit lassen sich die Anzahl der Anfragen, die ein Client stellen kann, begrenzen. Stellt ein Client zuviele bekommt er nur noch einen 301er ausgeliefert, womit eine Menge Last weggenommen wird.

MfG
Keci
 
so wir hatten die links mal durchgenommen und die sachen installiert, es ist etwas besser gewurden in der zeit der angriffe.

seit paar tagen ist aber zum glück wieder ruhe!

thx für die infos :)
 
Hallo, gegen DDoS kann man sich nicht 100% schützen aber es gibt einige tricks/tools zb. CSF, APF HardwareFirewall nginx reserve proxy alles tools hardware whatever in google gibts darüber tutorials.
hoffe konnte einigen und dir helfen

mfg socks5
 
Zurück
Oben