DDoS Abwehren

[Felix Weber]

Hallo,

ich habe seit einiger Zeit das Problem, dass ich eine gigantische Menge an Anfragen auf unseren Server habe.
Diese zielen alle auf unsere Suchfunktion ab und benutzen immer unterschiedliche Suchstrings (die eher Sätzen, als Wörtern entsprechen).
Dabei sind bis zu 90% der Abfragen auf dem Server momentan von dieser Natur.

Zuerst dachte ich, dass man Daten aus unserem System abgreifen will.
Da immer andere IPs genutzt werden (unter den letzten 200 Anfragen ist keine doppelte IP dabei), habe ich kurzerhand die
Suche unbenannt.

Jetzt geht der ganze Spaß aber weiter und ich habe 90% 404-Fehlermeldungen.
Ich dachte, das die Verursacher nach einer weile merken, dass keine Daten mehr kommen, aber die Anfragen (jetzt alle 404) laufen
jetzt einen Monat weiter ...

Hat jemand Tipps für mich, was ich machen kann?

 

[G.P.]

Gegen wirklich gezielte Angriffe ist wenig zu machen, aber meistens handelt es sich um Bots die einfach nur Formularfelder ausfüllen.

Die einfachste Lösung dagegen ist ein unsichtbares Formularfeld zu erstellen und immer wenn dieses ausgefüllt wird, die IP auf eine Blacklist zu setzen.

 

[Hardwarejoe]

http://www.bot-trap.de/home/ könnte Dir vielleicht helfen. Ein Versuch kann jedenfalls nicht schaden.

 

[Peter Schneider]

QUOTE Diese zielen alle auf unsere Suchfunktion ab und benutzen immer unterschiedliche Suchstrings

90% der Abfragen? Entsteht denn überhaupt ein 503-Fehler oder irgendetwas, was einen DDOs "erfolgreich" erscheinen lässt?

Ich bin daher der Meinung von GP.

Was inmho auch möglich wäre:

Warum das ganze Formularfeld nicht mit üblem JS aufbauen? Ein paar String-Additionen, schon kommt der 0815-Bot nicht mehr draus.

Ausserdem könnte man im Skript z.B. auch die Länge oder Anzahl Worte als Kriterium definieren, ob eine Suche überhaupt ausgeführt werden soll. Denn das limitiert ja die Performance Deines Gesamtangebotes.

 

[Felix Weber]

Hallo,
danke für die Vorschläge. Werde mir bot-trap mal heute ansehen.

QUOTE 90% der Abfragen? Entsteht denn überhaupt ein 503-Fehler oder irgendetwas, was einen DDOs "erfolgreich" erscheinen lässt?



Nein, nur wenn wirklich zusätzlich noch Last durch die User auf dem Server ist.
Die Abfragen laufen direkt ab, also ohne Formular. Es wird einfach der Suchstring geändert:
&suchwort=%22Powered+by+UCenter+Home%22
&suchwort=%22Powered+by+Elgg%22+%22Latest+blog+posts%22+mais
&suchwort=%22Powered+by+SupeSite%22+%22Comsenz+Inc.%22
&suchwort=%22the+title+must+be+in+the+form+of+a+question%22
&suchwort=%22This+free+flowing+dialogue+lets+you+send+messages%2C+pictures+and+video+to+anyone%22+%22users+can+communicate+using+quick+status+updates+of+160

Daher ging ich davon aus, dass die die Daten aus unserer DB abgreifen wollen.
Aber trotz, das jetzt ur noch ein 404 kommt, gehen die Anfragen muter weiter ....

Ach, es ist immer der gleiche User-Agent.
Wenn ich den aber blocke wird der in wenigen Stunden geändert ...

 

[Peter Schneider]

Daher ging ich davon aus, dass die die Daten aus unserer DB abgreifen wollen.

-> Hast Du mal geschaut, ob die Suchresultate unter "xyz" textuell genutzt werden, z.B. als Blurp im Internet?

Solltest Du einfach das Formularfeld wie von mir vorgeschlagen abändern, dann wäre es gleich noch vernünftig, den Speicherort des Skripts abzuändern. Blöd wäre natürlich, wenn der Botbetreiber dann nachschauen kommt.

Zu Bottrap: nichts gegen solche Lösungen. Aber wie hoch ist zusätzliche Serverlast und wie gut ist der BOT tatsächlich programmiert? Also wenn es ein DDOS aus einem Bot-Netzwerk wäre [was ich nicht wirklich annehme] -> was bringt dann Bottrap? LOL

 

[Peter Schneider]

Nur mal so nebenbei:
Bottrap funktioniert soweit ich weiss nach dem Honigtopf-Prinzip. Also eine Seite bereitstellen, auf die dann nur ein Spider zugreifen kann (die aber in der robots.txt gesperrt ist). Somit werden Bad-Bots gefiltert und deren IP-Adresse an das Bottrap-Netzwerk kommuniziert.

Das heisst: wenn irgendein neuer Bot oder von in Bottrap eh nicht vorhandene IP-Adressen zugegriffen wird, muss man hoffen, dass der neue Bot irgendwie zum Honigtopf gelangt.

Aber Dein Plagegeist, greift ja nur auf den Suchskript zu? Tja... Aber ausprobieren kann man Bottrap auf jeden Fall. Wenn Du Glück hast, ist der Bot in Bottrap bereits bekannt.

 

[G.P.]

QUOTE (Felix Weber @ Mo 28.07.2014, 11:08) Die Abfragen laufen direkt ab, also ohne Formular. Es wird einfach der Suchstring geändert:

Dann integriere einen dynmaischen Code in dein Suchfeld und wenn es eine Anfrage ohne den richtigen Code gibt, wird die IP gesperrt.