Как защититься от DDOS-атаки однотипными запросами к несуществующим файлам?

Question

[Виталий]

Добрый день.
Столкнулся с атакой на сайт однотипными запросами к несуществующим файлам преимущественно jpg.
Атака длится 24/7 примерно 50 запросов в секунду, ip атакующего меняется где-то раз в 3 дня.

log

2021/03/23 15:18:24 [error] 5826#0: *240820 access forbidden by rule, client: 37.45.11.152, server: _, request: "GET /upload/iblock/a59/a59dcbc6d7eebb9cd31cc496a971599f.JPG) HTTP/1.1", host: "my-host"
2021/03/23 15:18:24 [error] 5821#0: *241241 access forbidden by rule, client: 37.45.11.152, server: _, request: "GET /upload/iblock/dc8/dc886ef256fa821311c355a63f9f3913.JPG) HTTP/1.1", host: "my-host"
2021/03/23 15:18:24 [error] 5826#0: *240820 access forbidden by rule, client: 37.45.11.152, server: _, request: "GET /upload/iblock/a59/a59dcbc6d7eebb9cd31cc496a971599f.JPG) HTTP/1.1", host: "my-host"

Сайт на VDS 4CPU 12RAM, трафик 350K/мес.

Со своей стороны сделал:
на стороне nginx баню ip,
задал лимиты "limit_req_zone" для нескольких location.
Но, это не решение проблемы?
Ресурсы для обработки запросов потребляются, хоть и получает 403 ответ?
Файлы access.log и error.log к по 200MB за сутки, пишут по 50 строк в сек.

Как снизить нагрузку на сервер?
Как защищаться от подобных атак?

Comments

[shurshur]

Столкнулся однажды с "DDoS" одного битрикса... Проанализировал логи и выяснил, что очень много обращений к нескольким картинкам, которых физически нет, поэтому выполняется 404.php, грузящий весь битрикс и поэтому при активном обращении к картинкам выполняющийся не слишком быстро. А откуда столько обращений к картинкам? Виновник нашёлся на главной странице: скрипт-каруселька в углу, перебирающий картинки. Картинки удалили, а карусельку удалить забыли, в итоге все посетители главной страницы благополучно DDoSили сайт. Такой вот выстрел себе в ногу на пустом месте.

После этого сделал для некоторых расширений файлов возврат 404 через отдельный скрипт-костыль 404fast.php, не использующий битрикс, чтобы на случай таких будущих 404 ошибка возвращалась быстро.

Answer 1

[Alexey Dmitriev]

fail2ban и банить нужно в файрволе, а не в nginx
Вы гуглить вообще пробовали?
Куча инструкций в сети по запросу "ddos iptables"

Comments

[Vladimir Zp]

Попробуйте CrowdSec - https://serveradmin.ru/ustanovka-i-nastrojka-crowdsec/
Новый продукт, похожий на fail2ban но более современный и модульный. Я недавно тестировал, мне понравилось.

Если все же хотите fail2ban и будет много ip, то используйте ipset для их хранения - https://serveradmin.ru/zashhita-web-servera-ot-ddo...

У вас достаточно простой случай, помогут обе статьи, решение на свой вкус выбирайте.

Answer 2

[Zettabyte]

client: 37.45.11.152

Как защищаться от подобных атак?

% Abuse contact for '37.45.0.0 - 37.45.63.255' is lir [собака] belpak [.] by

А с учётом того, что союзное государство, подумайте над обращением в органы, хотя бы виртуальным, через какую-нибудь форму. Укажите, что сидит интернет-злоумышленник. Не исключаю, что с учётом неспокойности времён, могут и заинтересоваться потенциально вредоносным персонажем.

Лог, как говорили выше, не удаляйте, а скопируйте куда-нибудь - может пригодиться, если пойдёте этим путём.

Comments

[Sand]

Отличная идея. Могут заинтересоваться невиновным человеком с зараженным компом

[Zettabyte]

Sand, Не думаю, что с ним случится что-то страшное, если это действительно вирус.

Но когда 24/7 идёт по 50 запросов в секунду, нужно быть большим разгильдяем, чтобы это не заметить. Даже банально по проседанию скорости.

Плюс посмотрите ниже про подозрения на (явно неумных) конкурентов.

Answer 3

[ky0]

А в чём заключается прикладной результат описанной вами атаки? Нгинкс даже на минимальном железе может отдавать 404 ошибки гораздо с большей скоростью, чем 50 rps. Отключите логирование 404 ответов и, как советовали выше, включите fail2ban.

Имхо, это и атакой-то назвать нельзя - так, баловство...

Answer 4

[lonelymyp]

Это не выглядит атакой, больше похоже на автоматическое сканирование.

Comments

[lonelymyp]

SKEPTIC, ну да, может им нужны все картинки, вот они и тащат перебором по названию.
Ну и скорость маленькая, дабы случайно не уронить сканируемого.

Answer 5

[AUser0]

Бан по IP:
iptables -I INPUT -s 37.45.11.152 -j DROP

Удаление блокировки:
iptabled -D INPUT -s 37.45.11.152

Comments

[roswell]

-A INPUT, для первой строчки, всё-таки.

[AUser0]

roswell, нет, именно -I, чтобы эту блокировку не опередили никакие другие разрешающие правила!

Answer 6

[Виктор Таран]

50 файлов в секунду - по вашму это атака ?
не смешите у вас на страничке болльше файлов.
У вас битрикс вм ? если да то версию вм

Comments

[Виталий]

битрикс вм 7.4.3

[Виктор Таран]

айпишник у него один ?
что меняетя имя файла ?
почему ты решил что это ддос?
как ты определил что именно эти действия убивают сервер ?
какой loadavarage ?
поставь iotop yum install iotop
запусти iotop -oka минут на 5 ( собирается)
скрин в студию