-1

私はかなり長い間ApacheサーバーでWebサイトを実行してきましたが、最近、困惑する問題に遭遇しました。

私のサーバーは過去に DDOS 攻撃を受けており、サーバーをプロキシ/WAF の背後に移動する必要がありました。しばらくの間、私は Sucuri の背後にいました。当時は Sucuri が手頃な価格で最高の防御を提供していたからです。攻撃は次第に減少し、Cloudflare に無料で移行して IP アドレスを保護しながら、月々のサーバー コストを軽減しました。切り替えはスムーズで、数か月間すべてが正常に機能しています。

私は最近、レイヤ 7 攻撃と思われる攻撃を受けました。ドメインの access.log で、複数の IP アドレスが数秒ごとに 10 ~ 20 のリクエストを行っているのを確認できました。netstat を実行すると、何千もの TIME_WAIT と SYN_RECV がすべて Cloudflare の IP アドレスとともに返されました。これにより、攻撃は私のドメインに対するものであり、Cloudflare によってプロキシされ、私のセキュリティ設定に関係なく私のサーバーに到達したと確信しました。Cloudflare が提供する統計を見て、短期間に何百万ものリクエストが行われていることを確認して、これを確認しました。残念ながら、これにより、攻撃を特定することがさらに難しくなっています。私は何をすべきか。

syn Cookie を有効にし、mod_cloudflare を Apache に追加し、Cloudflare の WAF / レート制限ルールを有効にし、問題のある IP アドレスをブロックし、mod_evasive を使用して将来の違反者を自動的にブラックリストに登録しました。これにより、Apache アクセス ログに記録される悪意のあるリクエストの量が減少しました (ほぼ停止しました) が、タイムアウトは解決されませんでした.checkサイト

Cloudflare の分析によると、過去 6 時間で受信したリクエストは 16,000 件だけです (アクティブに攻撃されていたときは数千万件でした) が、他のすべてのリクエストでタイムアウトが発生します (Cloudflare を使用せずに直接接続した場合でも)。ありがとう

4

2 に答える 2

1

未承諾のパケットをブロックするか、ロード バランサーを使用して、プロキシ サーバーのセキュリティを強化し、DoS 攻撃を防御します。これらのアクションは、攻撃がサーバーに与える影響を軽減するのに役立つ可能性があります。

また、インターネット上のプロキシ サーバーをトランジット デバイスとして使用して、ネットワーク上の攻撃の発信元を隠す攻撃もあります。オープンまたは悪意のあるプロキシ サーバーがネットワークまたはサーバーにアクセスするのをブロックすることは、この種の攻撃の成功を防ぐ 1 つの方法です。

私はこれが間違いなくあなたを助けることを願っています

于 2017-09-14T17:24:19.480 に答える
0

ウェブホストに問い合わせるか、cloudflare サポートに問い合わせる必要があると思います

また、Sucuri でチケットを調達します。彼らのチームは、それぞれの開発者と緊密に連携してセキュリティの問題を修正しています。修正が完了すると、Sucuri はこれらの脆弱性をファイアウォール レベルでパッチします。

攻撃中、あなたのようなトラフィックの多い Web サイトは、サーバーの負荷が高いため、大幅に速度が低下します。場合によっては、サーバーが再起動してダウンタイムが発生することさえありました。

Sucuri を有効にすると、すべてのサイト トラフィックがクラウドプロキシ ファイアウォールを通過してから、ホスティング サーバーに到達します。これにより、すべての攻撃をブロックし、正当な訪問者のみを送信できます.

Sucuri のファイアウォールは、サーバーに到達する前にすべての攻撃をブロックします。Sucuri は主要なセキュリティ企業の 1 つであるため、潜在的なセキュリティ問題を積極的に調査し、WordPress のコア チームやサードパーティのプラグインに報告しています。

それでも問題が解決しない場合は、別の種類の攻撃である可能性があります

  • TCP 接続攻撃

これらは、ロード バランサー、ファイアウォール、アプリケーション サーバーなどのインフラストラクチャ デバイスへの利用可能なすべての接続を使い切ろうとします。何百万もの接続で状態を維持できるデバイスでさえ、これらの攻撃によって停止する可能性があります。

  • ボリューメトリック攻撃

これらは、ターゲット ネットワーク/サービス内、またはターゲット ネットワーク/サービスとインターネットの残りの部分との間の帯域幅を消費しようとします。これらの攻撃は単に輻輳を引き起こすことに関するものです

  • フラグメンテーション攻撃

これらは TCP または UDP フラグメントのフラッドを被害者に送信し、ストリームを再構築する被害者の能力を圧倒し、パフォーマンスを大幅に低下させます。

  • アプリケーション攻撃

これらは、アプリケーションまたはサービスの特定の側面を圧倒しようとするものであり、低いトラフィック レートを生成する攻撃マシンが非常に少ない場合でも効果的です (検出と軽減が困難になります)。

于 2017-09-14T16:21:34.203 に答える