[magic]

Citat:

Originally posted by N!cklas@Dec 18 2006, 15:00
Tycker inte riktigt min bild matchar din...
Ingen extrem topp senaste 24h i alla fall och övriga bilder ser liknande ut...
netstat -epl funkade inte som kommando. Kör FreeBSD

Jag ser ingen attack, din apache ser ut att dött strax efter klockan 1 i natt (om tiden är i CET)
Om din server hade blivit utsatt för en attack så borde det synas i din graf.
Det behövs inte synas men min erfarenhet är att 99% av attackerna som mina servrar blivit utsatta för har synts som en ökning av trafiken till servern.

När jag kollar lite närmare på din graf så ser jag en minskning av trafik när vi svenskar normalt är hemma från jobbet och sedan ökar trafiken igen när vi sover.. så jag gissar att din server inte står i Sverige och har CET som timezone

[N!cklas]

Helt rätt, US-server.

Klipper och klistrar in lite frågort och svar som skickats

Citat:

Could you please direct me into the files that contains information about
the attack? I've downloaded all logs, but is unable to find any information
that I can recognize as an attack. Trying to learn more about this kind of
things.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

It is not possible to get the files because it is not generate any log files.
We could find the same using the netstat command. You can check the httpd connections to the server using the command

netstat -f inet -aln | grep .80 | awk '{print $5}' | sort | awk -F. '{print $1"."$2"."$3"."$4}' | uniq -c | sort -n
=======

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Sorry for being such a !"&#%", but trying to understand

Are you saying log files isn't "turned on" or that the attack hasn't been
"detected into log files"? If it's option 2, can you tell what "kind" of
attack it was and from where?

Once again - sorry for being such a !"&#%", but trying to understand

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

DoS attack is an attempt to make a computer resource unavailable to its intended users. Typically the targets are high-profile web servers, and the attack attempts to make the hosted web pages unavailable on the Internet.

Dos attck doesnot generate any log files.

Med den info som getts - verkar allt detta rimligt? Just nu känner jag mig onormalt blond och blåögd (vilket jag de facto är... )

[magic]

De svarar inte på vad du frågar.

Du frågade typ av attack det var, och var den kom ifrån, detta svarar de inte på.
De kanske inte loggar sin trafik så de själva inte vet var den kom ifrån.
Eller så var det kanske inte din server som var utsatt för attacken, det kan ha varit din grannes server och den påverkade flera servrar.

Jag tycker du skall ställa följande frågor (som du redan har ställt en gång)

"What kind of DoS attack was it?"
"From wich IP adresses did it originate"
"Why doesn't the attack show in my graphs?"
"What can be done to prevent this in the future?"

Du kan skriva att du samlar denna information för att göra en eventuell polisanmälan i framtiden. De brukar kunna skicka lite loggar.

I deras svar skriver de att du kan kolla öppna http port 80, fråga om de kan begränsa antalet öppna port 80 per IP.

Det verkar som om de menar att din apache port 80 har öppnas massor av gånger och att din apache inte klarade av så många öppna anslutningar samtidigt.

kolla din httpd.conf efter raden: "MaxClients ???"
Du kan kanske öka det numret, på den server som jag kör mirc.net på har jag 250 och det räcker för mig.

Men om detta händer igen så kanske de kan lägga en regel i brandväggen att begränsa antalet anslutningar till port 80 från samma IP varje sekund. Eftersom bara port 80 öppnas och inget laddas hem så borde detta inte synas din graf.

[N!cklas]

Uppdaterar med min senaste fråga:

Citat:

Back again... Still have a few questions that I would be glad if you could answer:

What kind of DoS attack was it?

From which IP adress(es) did it originate?

Why doesn't the attack show in my graphs?

What can be done to prevent this in the future? Isn't it possible to set IPFW (or else) to only allow a certain number of connections over port 80 to the server?

Tack för alla tips i ärendet!!

[magic]

niklas, en sak är viktig, du vill endast begränsa antaler connection per ip, dvs en rate limit, du vill inte minska det totala antalet connections. Det du vill göra är att hindra att samma ip öppnar massor av connections i en onormal hastighet.

Jag kan inte så mycket om denna typ avattacker då jag vanligvis är utsatt av packet kiddies, men jag gissar att en person som gör detta har ett par ips och et litet script som öppnar connections till din port 80 i ett rasande tempo. det du vill hindra är att de öppnar för många per ip men du vill fortfarande släppa fram vanlig trafik, på så vis så sänker inte dessa personer din server.

[patrikweb]

Alltså det kan du begränsa i kernel lätt, inget dom behöver göra. Begränsa antal syn etc.

[N!cklas]

Senaste svaret:

Citat:

We have installed apf and mod_evasive for prevent this in the future. There were large number of httpd (port 80) connections from the IPs. Mod_evasive is an evasive maneuvers module for Apache to provide evasive action in the event of an HTTP DoS or DDoS attack or brute force attack. It is also designed to be a detection and network management tool, and can be easily configured to talk to ipchains, firewalls, routers, and etcetera. mod_evasive presently reports abuses via email and syslog facilities.

Får fortfarande inget svar på mina frågor varför jag börjar bli än mer fundersam...

Mitt svar:

Citat:

Hi again,
I take your last reply as the answer to my last question, as this seems to be a good prevention for future attacks.

But I'm also a bit confused. In an earlier ticket (#APW-16320-242) I asked to have APF and BFD installed and was told: "We are sorry to say that after logging into your server, we were able to make out it is a FreeBSD server and apf and bfd cannot be installed in a freebsd server"

Instead IPFW was installed after recommendation from support-staff.

Lastly; 3 questions remains unanswered...
- What kind of DoS attack was it?
- From which IP adress(es) did it originate?
- Why doesn't the attack show in my graphs?

Best regards
Nicklas

[patrikweb]

Du bör kolla på http://www.freebsd.org/cgi/man.cgi?query=accf_http

Samt aktivera: sysctl net.inet.tcp.syncookies=1

[N!cklas]

Tack för alla info Patrik(web)! Har tipsat dem om detta och väntar nu med spänning på svar...

[N!cklas]

Senaste svaret:

Citat:

The attack should have been incomplete connections, (connections would not have fully established). The attack was probably detected by using the command-line options given to you earlier (in real-time)
So there are no logs corresponding to it and since the request was not complete, it would not have been shown in bandwidth graphs.

Helt enkelt så finns inga spår efter attacken mer än ett par timmars nertid och en jäkla massa jobb...