เว็บไซต์ของฉันถูกโจมตีเมื่อเร็ว ๆ นี้ ฉันจะทำอย่างไร

นี่เป็นครั้งแรกสำหรับฉัน หนึ่งในเว็บไซต์ที่ฉันทำงานถูกโจมตีเมื่อเร็ว ๆ นี้ ไม่ได้เป็นการโจมตีที่ชาญฉลาด - กำลังดุร้ายบริสุทธิ์ - เข้าชมทุกหน้าและทุกหน้าไม่ได้พร้อมส่วนขยายที่เป็นไปได้ทั้งหมด โพสต์ด้วยข้อมูลขยะไปยังทุกรูปแบบและพยายามโพสต์ไปที่ URL แบบสุ่มเช่นกัน tod ทั้งหมด 16,000 คำขอในหนึ่งชั่วโมง

ฉันควรทำอย่างไรเพื่อป้องกัน / แจ้งเตือนพฤติกรรมนี้ มีวิธี จำกัด คำขอ / ชมสำหรับ ip / client ที่กำหนดหรือไม่?

มีสถานที่ที่ฉันควรรายงานผู้ใช้หรือไม่ พวกเขาดูเหมือนจะมาจากประเทศจีนและทิ้งสิ่งที่ดูเหมือนว่าเป็นอีเมลที่ถูกต้อง

คุณใช้ซอฟต์แวร์ประเภทใดในเว็บไซต์ของคุณ ฟิลด์ข้อคิดเห็นเหล่านี้ถูกสร้างขึ้นเองหรือมีซอฟต์แวร์แพ็คเกจยอดนิยมหรือไม่ แพ็คเกจยอดนิยมส่วนใหญ่มีปลั๊กอินเพื่อช่วยกำจัดสแปมบอท (รู้จัก) หากสร้างขึ้นเองการเพิ่ม CAPTCHA จะช่วยลดสแปมได้อย่างแน่นอน

นอกจากนี้หากคุณรู้จัก IP "ของผู้ใช้" ให้บล็อกจากเว็บไซต์ของคุณ (หากคุณมีความสามารถนั้น) และรายงานไปยังเว็บโฮสต์ของคุณ (สมมติว่าคุณโฮสต์โดย บริษัท ที่อยู่ห่างไกล) โฮสต์ของคุณจะ (อ่าน: ควร) เพื่อบล็อกคำขอพิเศษ 16,000 รายการ โดยเฉพาะอย่างยิ่งถ้าคุณอยู่ในโฮสต์ที่ใช้ร่วมกันเนื่องจากอาจส่งผลกระทบต่อประสิทธิภาพการทำงานของลูกค้ารายอื่น

ก่อนอื่นให้ลองค้นหาว่าพวกเขาทำอะไร พวกเขาจัดการเพื่อฉีดรหัสหรือ SQL หรือไม่? พวกเขาปรับเปลี่ยนฐานข้อมูลของคุณหรือไม่ พวกเขาเข้าถึงข้อมูลที่พวกเขาไม่ควรเข้าถึงหรือไม่

คำอธิบายของคุณดูเหมือนว่าพวกเขาจะ "โจมตี" แบบสุ่มโดยไม่ทำอันตรายจริง ในกรณีดังกล่าวลองตั้งค่าการป้องกันสำหรับการโจมตีที่คุณยังไม่ปลอดภัย ดังนั้นแขนฟอรั่มของคุณด้วย captchas บางส่วน

ป้องกัน: captchas สามารถช่วยได้ นอกจากนี้ยังมีเครื่องมือที่ตรวจสอบเว็บไซต์ของคุณเพื่อแก้ไขปัญหาความปลอดภัย คุณอาจต้องการใช้เครื่องมือดังกล่าว

Alert / Limit: ขึ้นอยู่กับสภาพแวดล้อมและลูกค้าของคุณ คุณสามารถเพิ่มการตรวจสอบ IP ให้กับหน้าเว็บของคุณและเพียงแค่คืนการเข้าถึงที่ถูกปฏิเสธสำหรับ IP ที่เฉพาะเจาะจง แต่ก) ฉันเดาว่า IP นั้นจะไม่ได้รับการแก้ไขและในครั้งต่อไปผู้บริสุทธิ์จะได้รับ IP และ b) IP หนึ่งรายการ (พร็อกซี บริษัท ) ดังนั้นการปิดกั้น IP จึงไม่ใช่ความคิดที่ดี

หากคุณใช้ linux 'iptables' จะช่วยให้คุณมีอิสระในการเลือกนโยบายในการ จำกัด การเชื่อมต่อใหม่จากที่อยู่ IP หรือช่วงที่อยู่ IP ลอง:

iptables -A อินพุต -p tcp - พอร์ต 80 -m state - รัฐใหม่ขีด จำกัด -m - เปิด 120 / นาที -j ยอมรับ
iptables -A อินพุต -p tcp --dport 80 -j DROP

ฉันคิดว่าการบล็อก IP เป็นความคิดที่ดี แคปต์ชาอาจป้องกันสแปม แต่คำขอเพิ่มขึ้น 16,000 คำขอต่อชั่วโมงทำให้เซิร์ฟเวอร์โหลดบ่อยครั้ง

หากการโจมตีเกิดจาก IP ที่มีขอบเขต จำกัด ฉันก็แค่บล็อกมันทั้งหมดใน iptables จากนั้นปลดบล็อกพวกเขาในอีกหนึ่งสัปดาห์ต่อมา

หากคุณยังไม่มีให้แน่ใจว่าเว็บไซต์ของคุณกำลังบันทึก IP คุณสามารถทำ IP WHOIS ฟรีที่ www.dnstuff.com เพื่อดูว่า IANA คิดว่าที่อยู่ IP นั้นมาจากไหน ในหลายกรณียังมีการลงทะเบียนหรือ ISP สำหรับที่อยู่ IP และคุณสามารถติดต่อพวกเขาโดยตรงเพื่อรายงาน

เห็นได้ชัดว่าคุณสามารถปิดกั้นที่อยู่ IP ได้ชั่วคราวปัญหาเดียวที่ทำให้ ISP จำนวนมากใช้ที่อยู่ DHCP ซึ่งแม้ว่าผู้โจมตีจะมี IP ในวันนี้มันอาจจะแตกต่างกันในวันพรุ่งนี้และที่สำคัญผู้ใช้ที่ถูกกฎหมายอาจได้รับ IP ที่ถูกบล็อก

ไซต์ของคุณโฮสต์อยู่ที่ไหน หากการโจมตีเกิดขึ้นภายในระยะเวลาหนึ่งให้บอกเวลา 10 นาทีว่าควรมีการเตือนภัย DDOS ที่ใดที่หนึ่งเนื่องจากปริมาณปกติของไซต์อาจไม่ได้รับการร้องขอจำนวนมากในช่วงเวลาสั้น ๆ อุปกรณ์อย่าง Barracuda นั้นได้รับการออกแบบมาเพื่อป้องกันคำขอเหล่านั้นเมื่อพวกเขาเข้ามาเร็วเกินไป IIS ยังมีคุณสมบัติที่คล้ายกันซึ่งหากมีคำขอมากเกินไปในเวลาเดียวกันก็จะคิดว่ากำลังถูกโจมตีและในหลายกรณีจะถ่ายโอนการเชื่อมต่อ การติดตั้งการค้นหา SharePoint จำนวนมากมีปัญหานี้เนื่องจากตัวทำดัชนีการค้นหาต้องการสิ่งต่างๆมากมายอย่างรวดเร็ว

หวังว่านี่จะช่วยให้คุณคิดเล็กน้อยหรือคิดในสิ่งที่ต้องพิจารณา คุณสามารถเพิ่ม CAPTCHA และสิ่งอื่น ๆ ลงในไซต์ได้ แต่ในการโจมตีขั้นสุดท้ายเช่นนี้จะมาที่ TCP / IP และอุปกรณ์ต่าง ๆ เพื่อรับรู้ถึงการโจมตีและป้องกันหรือฆ่ามันเว็บไซต์ของคุณสามารถปกป้องตัวเองได้มากมาย