[linux-l] Schutz des Apache2 vor DDOS-Attacken

Volker Grabsch vog at notjusthosting.com
Mo Jan 1 19:57:13 CET 2007


On Mon, Jan 01, 2007 at 07:10:41PM +0100, Ivan F. Villanueva B. wrote:
> Am Fr, Dez 29, 2006 07:02:18 +0100, Volker Grabsch schrieb:
> > ich würde gerne eine Apache2-Installation gegen DDOS-Attacken schützen.
> > Genauer gesagt geht es um saumäßig konfigurierte Spider, die die Seiten
> > abgrasen und die Serverlast in die Höhe treiben.
> 
> Kann man nicht mit iptables und tc den Kernel so konfigurieren, dass er langsam
> solche DDOS-Attacken antwortet?

Daran dachte ich auch schonmal, aber das klingt für mich sehr aufwändig.
Hab mich da vor einiger Zeit mal reingelesen.

Das prinzpielle Problem ist aber, dass der Apache, auf Applikations-Level,
viel besser die bösen Spider erkennen kann.

Zum Beispiel ist es ein Unterschied, ob kurz nach einer HTML-Seiten viele
Grafiken geladen werden, oder ob ganz viele HTML-Seiten nacheinander
geladen werden.

Beides führt zu vielen Aufrufen innerhalb kürzester Zeit von der selben
Ursprungs-IP. Aber ersteres ist typisches Browser-Verhalten, und völlig
in Ordnung, weil die Grafiken kein Last erzeugen, sondern die HTML-
Generierung. Aber zweiteres ist böses Spider-Verhalten, und zwingt den
Server auf Dauer in die Knie.


Viele Grüße,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR



Mehr Informationen über die Mailingliste linux-l