Определение источников DDOS атаки по логам - Logsalgia
Я никогда не сталкивался лично с DDOS атакой, но вот один из моих клиентов по веб-сайтам обратился ко мне.
С хостинга стали приходить письма об превышении допустимой нагрузки на виртуальный хостинг.
Я смотрел на хостинге в панели показывало аж 600 человек на сайте одновременно, когда обычно 30-40.
Тут явно что-то было не так.
Включил логи доступа.
Через 4 часа их скачал и посмотрел глазами. Увидел возможную проблему, у некоторых запросов поле агент было python-aiohttp.
У меня не было никакого опыта отбивания таких атак и анализа источников. Думал как-то нужно бы выделить тех кто чаще других долбит. Профессиональные администраторы серверов кончено знают методы, но у меня не было времени.
Начал искать средства анализа логов Apache, чтобы группировать запросы. Немного помог AWStats. Другие утилиты и приложения платные почти все. Я случайно наткнулся на запись про Logstalgia - средство визуализации работы сервера по логам доступа accesslog.
Каждое подключение отправляющее запросы представлено, как игрок в теннис который играет мячом об стену, а стена тут сервер. Посланный запрос отскакивает назад игроку, игрок может подавать подряд несколько запросов.
Вы видите как десятки игроков играют об одну стену. В том месте, где попадает много мячей от стены начинает отлетать много краски! Наведите мышку на мяч и узнаете чей он по IP адресу.
Посмотрите как это на видео:
Это мне и помогло. Я включил проигрывание сессии и смотрел как в кино, когда будет взрыв на экране. Помогло!
Я обнаружил несколько IP за границей, которые нас долбили! Запретил им доступ и DDOS прекратилась.
Думаю есть специальное ПО, которое само может определить источники максимальной интенсивности, но это для тех кто в этом постоянно работает.
С хостинга стали приходить письма об превышении допустимой нагрузки на виртуальный хостинг.
Я смотрел на хостинге в панели показывало аж 600 человек на сайте одновременно, когда обычно 30-40.
Тут явно что-то было не так.
Включил логи доступа.
Через 4 часа их скачал и посмотрел глазами. Увидел возможную проблему, у некоторых запросов поле агент было python-aiohttp.
У меня не было никакого опыта отбивания таких атак и анализа источников. Думал как-то нужно бы выделить тех кто чаще других долбит. Профессиональные администраторы серверов кончено знают методы, но у меня не было времени.
Начал искать средства анализа логов Apache, чтобы группировать запросы. Немного помог AWStats. Другие утилиты и приложения платные почти все. Я случайно наткнулся на запись про Logstalgia - средство визуализации работы сервера по логам доступа accesslog.
Каждое подключение отправляющее запросы представлено, как игрок в теннис который играет мячом об стену, а стена тут сервер. Посланный запрос отскакивает назад игроку, игрок может подавать подряд несколько запросов.
Вы видите как десятки игроков играют об одну стену. В том месте, где попадает много мячей от стены начинает отлетать много краски! Наведите мышку на мяч и узнаете чей он по IP адресу.
Посмотрите как это на видео:
Click to viewЭто мне и помогло. Я включил проигрывание сессии и смотрел как в кино, когда будет взрыв на экране. Помогло!
Я обнаружил несколько IP за границей, которые нас долбили! Запретил им доступ и DDOS прекратилась.
Думаю есть специальное ПО, которое само может определить источники максимальной интенсивности, но это для тех кто в этом постоянно работает.