問題タブ [server-side-attacks]

私たちのウェブサイトにはかなり堅牢なセットアップがあります。その背後にある 2 つの Web サーバーと 2 つの高可用性 MySQL サーバーを備えたロード バランサーを備えたファイアウォール。私たちの仕事は、広告主がサポートするウェブサイトにできるだけ多くのトラフィックを送ることです。

最近、外国からのトラフィックが非常に多くなっています（主に中国）。1 時間あたり数百万人の訪問者。それはほとんど攻撃のように振る舞っています。

PHP を使用して IP を分析し、国に基づいて訪問者をリダイレクトできますが、それでも負荷が高くなり、fCGI スロットが完全にいっぱいになります。また、ホストは、ファイアウォールに国のフィルターを適用すると速度が低下し、問題が発生することを伝えています.

環境に到達する前に特定のトラフィックをフィルタリングするサービスまたは方法を知っている人はいますか? 多分DNSレベルでそれを行う方法はありますか?

私はかなり長い間ApacheサーバーでWebサイトを実行してきましたが、最近、困惑する問題に遭遇しました。

私のサーバーは過去に DDOS 攻撃を受けており、サーバーをプロキシ/WAF の背後に移動する必要がありました。しばらくの間、私は Sucuri の背後にいました。当時は Sucuri が手頃な価格で最高の防御を提供していたからです。攻撃は次第に減少し、Cloudflare に無料で移行して IP アドレスを保護しながら、月々のサーバー コストを軽減しました。切り替えはスムーズで、数か月間すべてが正常に機能しています。

私は最近、レイヤ 7 攻撃と思われる攻撃を受けました。ドメインの access.log で、複数の IP アドレスが数秒ごとに 10 ～ 20 のリクエストを行っているのを確認できました。netstat を実行すると、何千もの TIME_WAIT と SYN_RECV がすべて Cloudflare の IP アドレスとともに返されました。これにより、攻撃は私のドメインに対するものであり、Cloudflare によってプロキシされ、私のセキュリティ設定に関係なく私のサーバーに到達したと確信しました。Cloudflare が提供する統計を見て、短期間に何百万ものリクエストが行われていることを確認して、これを確認しました。残念ながら、これにより、攻撃を特定することがさらに難しくなっています。私は何をすべきか。

syn Cookie を有効にし、mod_cloudflare を Apache に追加し、Cloudflare の WAF / レート制限ルールを有効にし、問題のある IP アドレスをブロックし、mod_evasive を使用して将来の違反者を自動的にブラックリストに登録しました。これにより、Apache アクセス ログに記録される悪意のあるリクエストの量が減少しました (ほぼ停止しました) が、タイムアウトは解決されませんでした.checkサイト

Cloudflare の分析によると、過去 6 時間で受信したリクエストは 16,000 件だけです (アクティブに攻撃されていたときは数千万件でした) が、他のすべてのリクエストでタイムアウトが発生します (Cloudflare を使用せずに直接接続した場合でも)。ありがとう