내 사이트가 최근에 공격을 받았습니다. 어떻게해야합니까?

이것은 나를위한 첫 번째입니다. 내가 운영하는 사이트 중 하나가 최근에 공격을 받았습니다. 지능적인 공격 (순수한 무차별 대입)이 모든 확장명으로 모든 페이지와 모든 비 페이지를 공격하는 것은 아닙니다. 가비지 데이터를 모든 양식에 게시하고 임의의 URL에도 게시하려고했습니다. 한 시간에 모든 1,16,000 건의 요청.

이런 종류의 행동을 예방 / 경고하려면 어떻게해야합니까? 주어진 IP / 클라이언트에 대한 요청 / 시간을 제한하는 방법이 있습니까?

사용자에게보고해야 할 장소가 있습니까? 그들은 중국 출신 인 것으로 보이며 유효한 이메일처럼 보이는 것을 남겨 두었습니다.

귀하의 사이트에서 어떤 유형의 소프트웨어를 실행하고 있습니까? 이 주석 필드는 사용자 정의로 작성 되었습니까 아니면 일부 인기있는 소프트웨어 패키지입니까? 가장 많이 사용되는 패키지에는 (알려진) 스팸봇을 물리 치는 데 도움이되는 플러그인이 있습니다. 맞춤 제작 된 경우 보안 문자를 추가하면 스팸을 줄이는 데 도움이됩니다.

또한, "사용자"IP를 알고 있다면, 사이트에서 IP를 차단하고 (그러한 능력이있는 경우) 웹 호스트에보고하십시오 (원격 회사에서 호스팅한다고 가정). 호스트는 기꺼이 읽을 것입니다. 16,000 개의 추가 요청을 차단합니다. 특히 공유 호스트에있는 경우 다른 고객의 성능에 영향을 줄 수 있습니다.

먼저 그들이 무엇을했는지 찾아보십시오. 그들은 코드 또는 SQL을 주입 했습니까? 그들은 당신의 DB를 수정 했습니까? 이것들은 액세스 할 수없는 데이터에 액세스 할 수 있습니까?

귀하의 설명은 실제 피해를주지 않고 임의의 "공격"만 한 것처럼 들립니다. 이 경우 아직 보안되지 않은 공격에 대한 방어를 설정하십시오. 따라서 보안 문자를 사용하여 포럼을 준비하십시오.

예방 : 보안 문자가 도움이 될 수 있습니다. 웹 사이트를 다시 확인하여 일부 보안 문제를 확인하는 도구도 있습니다. 그러한 도구를 사용하고 싶을 수도 있습니다.

경고 / 제한 : 환경과 호스트에 따라 다릅니다. 페이지에 항상 IP 검사를 추가하고 특정 IP에 대해 거부 된 액세스 권한을 반환 할 수는 있지만 a) IP가 수정되지 않고 다음에 무고한 사람이 IP를 가져오고 b) 종종 여러 사용자가있는 경우 하나의 IP (회사 프록시). 따라서 IP를 차단하는 것은 좋은 생각이 아닙니다.

Linux를 사용하는 경우 'iptables'를 사용하면 IP 주소 또는 IP 주소 범위에서 새 연결을 제한하기위한 정책을 자유롭게 선택할 수 있습니다. 시험:

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 120 / minute -j ACCEPT
iptables -A 입력 -p tcp --dport 80 -j DROP

IP 차단은 좋은 생각이라고 생각합니다. 보안 문자는 스팸을 방지 할 수 있지만 시간당 16000 건의 요청으로 서버로드가 많이 증가합니다.

공격이 제한된 범위의 IP에서 시작된 경우 단순히 iptables에서 모든 IP를 차단합니다. 그런 다음 일주일 후에 차단을 해제하십시오.

아직없는 경우 사이트에서 IP를 로깅하고 있는지 확인하십시오. www.dnstuff.com에서 무료 IP WHOIS를 수행하여 IANA가 IP 주소의 출처를 어떻게 생각하는지 확인할 수 있습니다. 대부분의 경우 IP 주소에 대한 레지스트라 또는 ISP도 제공하며이를 직접보고 할 수 있습니다.

분명히 당신은 IP 주소를 일시적으로 차단할 수 있습니다. 그것의 유일한 문제는 너무 많은 ISP가 DHCP 주소를 사용한다는 것입니다. 공격자가 오늘 그 IP를 가지고 있지만 내일과 다를 수 있고 더 중요한 것은 합법적 인 사용자가 차단 된 IP를 얻을 수 있다는 것입니다.

귀하의 사이트는 어디에서 호스팅됩니까? 일정 기간 내에 공격이 발생했다면 10 분이라고 말하면 사이트의 정상적인 볼륨이 짧은 기간 동안 그다지 많은 요청이 아니기 때문에 어딘가에 DDOS 경보를 트리거했을 것입니다. 바라쿠다와 같은 장치는 요청이 너무 빠를 때 이러한 요청을 본질적으로 차단하도록 설계되었습니다. IIS는 또한 너무 많은 요청이 동시에 도착하면 공격을 받고 있다고 생각하고 연결을 덤프하는 유사한 기능을 가지고 있습니다. 검색 인덱서가 많은 것을 매우 빨리 요구하기 때문에 많은 SharePoint 검색 설치에이 문제가 있습니다.

바라건대 이것은 무엇을보아야하는지에 대한 아이디어를 제공하거나 약간의 도움을줍니다. CAPTCHA 및 기타 항목을 사이트에 추가 할 수 있지만, 이와 같은 공격은 TCP / IP 및 장치를 통해 공격을 인식하고이를 방지하거나 제거하기 때문에 웹 사이트 자체를 보호하기 위해 많은 작업을 수행 할 수 있습니다.