13.01.2014, 19:24
Hi,
Ich hab' da mal eine Frage.
Ich habe vor ein paar Stunden etwas veröffentlicht, was wohl einigen Leuten nicht in den Kragen passt.
Nun werde ich in Kindesmanier GeDDoSt. (Slow HTTP POST). Meine Ligfiles hatten von Gestern auf Heute 2,3 GB (!!!!!) - Server war und ist aber tadellos erreichbar.
Ich habe mittlerweile mit .htaccess POST requests denied, bei fail2ban habe ich bereits auch ein Rule erstellt, das POST verbietet.
Nun die Frage:
Kann ich POSTs irgendwie schon auf Firewall-ebene Blocken? Gibt's da etwas für?
Die Requests haben alle das selbe Muster: (incl. fake-User Agent)
Ich hab' da mal eine Frage.
Ich habe vor ein paar Stunden etwas veröffentlicht, was wohl einigen Leuten nicht in den Kragen passt.
Nun werde ich in Kindesmanier GeDDoSt. (Slow HTTP POST). Meine Ligfiles hatten von Gestern auf Heute 2,3 GB (!!!!!) - Server war und ist aber tadellos erreichbar.
Ich habe mittlerweile mit .htaccess POST requests denied, bei fail2ban habe ich bereits auch ein Rule erstellt, das POST verbietet.
Nun die Frage:
Kann ich POSTs irgendwie schon auf Firewall-ebene Blocken? Gibt's da etwas für?
Die Requests haben alle das selbe Muster: (incl. fake-User Agent)
Code:
85.167.191.118 - - [13/Jan/2014:19:07:41 +0100] "POST URL HTTP/1.0" 500 296 "URL" "Mozilla/5.0 (Linux; Android 4.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"
112.202.26.65 - - [13/Jan/2014:19:07:41 +0100] "POST URL HTTP/1.0" 500 296 "URL" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36"
135.23.125.132 - - [13/Jan/2014:19:07:41 +0100] "POST URL HTTP/1.0" 500 296 "URL" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36"
217.224.33.110 - - [13/Jan/2014:19:07:41 +0100] "POST URL HTTP/1.0" 500 296 "URL" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:26.0) Gecko/20100101 Firefox/26.0"
Attacke am Anfang:
http://www.abload.de/img/unbenannt5vj0i.png(!https)
Attacke, abgeschwächt, aber immer noch im Gange (immer mehr IPs):
http://www.abload.de/img/unbenannftetfn0.png(!https)