DDOS атака через POST

[bonuswallet]

Здравствуйте. Конкурент запустил DDOS атаку , на сервере показывается следующее:

162.***.***.111 - - [02/Oct/2020:17:18:33 +0300] "POST /index.php?route=checkout/cart/add HTTP/1.1" 403 483 "https://******.ru/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0"/

И таких запросов прилетает много. 

 

Стоит CLOUDFLARE ,но он в этом случае не помогает. 

Атаку производит 1 человек в ручную , ничего казалось бы опасного , но сайт лежит со следующей ошибкой
Forbidden

You don't have permission to access this resource.Server unable to read htaccess file, denying access to be safe

Как решить проблему?

Змінено 2 жовтня 2020 користувачем bonuswallet

[Vladzimir]

Добавление в корзину ну никак не может быть ддосом.

Данных мало.

[DariyGRAY]

Вообще не вижу связи между post-запросом и ошибкой

[DariyGRAY]

Вас хостер, что ли, отключил?

[bonuswallet]

ну таких запросов много было за день. Вот поддержка хостинга ответила 

Поддержка: Алексей
Как видно, было 262 одновременных запроса к скрипту POST /index.php?route=checkout/cart/add. Любой хостинг будет блокировать доступ при таком количестве одновременных запросов

[ocdev_pro]

9 минут назад, bonuswallet сказал:

ну таких запросов много было за день. Вот поддержка хостинга ответила 

Поддержка: Алексей
Как видно, было 262 одновременных запроса к скрипту POST /index.php?route=checkout/cart/add. Любой хостинг будет блокировать доступ при таком количестве одновременных запросов

Возьмите клаундфлейр за 20$ тогда и почувствуете его преимущество, + его надо еще грамотно настроить!
Добавление в корзину, это простые действия как обычного покупателя. Как может положить сайт 1 человек добавляя товары в корзину не понимаю.. IP в бан добавьте пускай не заходит))
И хватит использовать хостинг.. берите хотя бы маленький, но VPS у нормальных кантор adminvps или hetzner

[Yoda]

15 минут назад, Vladzimir сказал:

Добавление в корзину ну никак не может быть ддосом.

Данных мало.

Запросто, я вам в личку расскажу в чем смысл!

[DariyGRAY]

8 минут назад, bonuswallet сказал:

ну таких запросов много было за день. Вот поддержка хостинга ответила 

Поддержка: Алексей
Как видно, было 262 одновременных запроса к скрипту POST /index.php?route=checkout/cart/add. Любой хостинг будет блокировать доступ при таком количестве одновременных запросов

 

262 одновременных запроса одним человеком руками? На самом деле ситуация отличается от того, что вы описали изначально. Нужно логи смотреть и думать как фильтровать. Может там достаточно будет по IP в том же htaccess заблокировать. А может и сложнее условия писать

[Yoda]

Только что, Waha сказал:

Возьмите клаундфлейр за 20$ тогда и почувствуете его преимущество, + его надо еще грамотно настроить!
Добавление в корзину, это простые действия как обычного покупателя. Как может положить сайт 1 человек добавляя товары в корзину не понимаю.. IP в бан добавьте пускай не заходит))

Не почуствует - есть нюансы!
мы это много раз отбивали!

 

[DariyGRAY]

Только что, Yoda сказал:

Запросто, я вам в личку расскажу в чем смысл!

 

Я даже догадываюсь в чем

[bonuswallet]

Только что, DariyGRAY сказал:

 

262 одновременных запроса одним человеком руками? На самом деле ситуация отличается от того, что вы описали изначально. Нужно логи смотреть и думать как фильтровать. Может там достаточно будет по IP в том же htaccess заблокировать. А может и сложнее условия писать

 htaccess не блокирует IP так как стоит Cloudflare да и IP я вижу он менял пару раз уже , это не проблема сейчас. Что можно сделать? Реально не думал , что так просто можно пост запросами положить сайт 

[bonuswallet]

Ребят , кто подскажет действенный метод?:) С меня будет материальное спасибо)

[DariyGRAY]

Догадываюсь, как можно положить запросами. А вот про действенный способ отбиться от подобного сам бы с удовольствием почитал)

[Yoda]

27 минут назад, bonuswallet сказал:

 htaccess не блокирует IP так как стоит Cloudflare да и IP я вижу он менял пару раз уже , это не проблема сейчас. Что можно сделать? Реально не думал , что так просто можно пост запросами положить сайт 

Конечно не блокирует, нужно работать с CF-Connecting-IP. Если у вас веб-сервер полноценно проксирует заголовки.
 

[Yoda]

23 минуты назад, DariyGRAY сказал:

Догадываюсь, как можно положить запросами. А вот про действенный способ отбиться от подобного сам бы с удовольствием почитал)

Вот воистину странный вопрос про действенный способ.
Ну как ABC считаем обращения, считаем leak-запросы. Выставляем лимиты на время обращений и это все... 
И чао мамкины хакиры.

 

29 минут назад, bonuswallet сказал:

Ребят , кто подскажет действенный метод?:) С меня будет материальное спасибо)

С удовольствием бы помог, но занят.
Но думаю что достаточно дал наводок, как с этим бороться!

[Yoda]

p.s я бы не занимался экспериментами с cloud-flare, а работал бы в рамках нормального VPS имея полноценную информацию о посещениях и доступ к настройкам NGINX и Fail2Ban - это все отбивается за полдня.
Ну и местами можно справиться просто одними настройками nginx и req_zone_limit 

 

UPD Cloudflare в бесплатной версии - особо не спасает от ддосов. Но вот когда к тебе на сервер приходит 10-20к запросов в секунду с разных айпи на разные страницы - вот тут его платные пакеты бесценны.

[DariyGRAY]

1 час назад, Yoda сказал:

Вот воистину странный вопрос про действенный способ.

 

Странный - когда ты хорошо разбираешься в серверной архитектуре и имеешь неплохой опыт за плечами. Я же в общих чертах имею представление. Да, для средненького сайта вполне себе могу настроить vps с нуля, который будет работать без каких-либо проблем. А вот что касается вопроса по теме, то для меня это пока только теория. И не вижу ничего в том, что могу не только проявить к этому интерес, но и признаться в своем уровне знаний который далеко пока не 80lvl

[Yoda]

3 часа назад, DariyGRAY сказал:

 

Странный - когда ты хорошо разбираешься в серверной архитектуре и имеешь неплохой опыт за плечами. Я же в общих чертах имею представление. Да, для средненького сайта вполне себе могу настроить vps с нуля, который будет работать без каких-либо проблем. А вот что касается вопроса по теме, то для меня это пока только теория. И не вижу ничего в том, что могу не только проявить к этому интерес, но и признаться в своем уровне знаний который далеко пока не 80lvl

Не не... Вот тут я с вами могу спорить!

Любая ддос-атака имеет определенный вектор. 
Либо это детские болезни движка, либо это какой-то ботнет, который шлет множественные запросы, но так или иначе она видна в логах.
Не надо быть семи пядей во лбу, для того чтобы просто посмотреть в access-логи, увидить там повторяющиеся аномалии и воспроизвести их.
Любой мало-мальски грамотный вебмастер, понимая, что у него идет с какой-то подсети трафик, может его закрыть, либо же урезать те же лимиты. Да и все остальное. Не надо бояться - мамкины хакеры не умнее паши в большинстве случаев!

 

Вот просто приведу пример из истории, которая была на этой неделе странная атака на магазин.
50-100 запросов в секунду с разных айпи но на один адрес и с префиксом /exited. Что это было - я так и не понял. Просто поймали в request_uri вхождение exited и заблочили на уровне nginx. Вы думаете я на изусть помню синтаксис конфига NGIX - да фиг там. Так же как и любой другой я гуглил, как заблочить вхождение в урл в nginx.
Но алгоритмы решения они же понятные !

[kJlukOo]

я с подобным не сталкивался. но догадываюсь, что небольшой таймаут на добавления в корзину в пределах одного пользователя может помочь

[DariyGRAY]

8 часов назад, Yoda сказал:

Не не... Вот тут я с вами могу спорить!

Любая ддос-атака имеет определенный вектор. 
Либо это детские болезни движка, либо это какой-то ботнет, который шлет множественные запросы, но так или иначе она видна в логах.
Не надо быть семи пядей во лбу, для того чтобы просто посмотреть в access-логи, увидить там повторяющиеся аномалии и воспроизвести их.
Любой мало-мальски грамотный вебмастер, понимая, что у него идет с какой-то подсети трафик, может его закрыть, либо же урезать те же лимиты. Да и все остальное. Не надо бояться - мамкины хакеры не умнее паши в большинстве случаев!

 

Вот просто приведу пример из истории, которая была на этой неделе странная атака на магазин.
50-100 запросов в секунду с разных айпи но на один адрес и с префиксом /exited. Что это было - я так и не понял. Просто поймали в request_uri вхождение exited и заблочили на уровне nginx. Вы думаете я на изусть помню синтаксис конфига NGIX - да фиг там. Так же как и любой другой я гуглил, как заблочить вхождение в урл в nginx.
Но алгоритмы решения они же понятные !

 

В общих чертах для меня все понятно. И то, о чем вы писали выше, я тоже слышу не впервые. Представляю как на уровне сервера можно отсечь тот или иной трафик. Кроме того, я представляю даже несколько способов. Скорее всего справился бы с ситуацией тс. Но дело в другом. Я бы потратил на это значительно больше времени чем тот, кто сталкивается с подобными ситуациями намного чаще. Поэтому и озвучил свое желание послушать о способах решения. Нормальное желание, как по мне ибо говорили в школе "Учиться никогда не поздно"

[Yoda]

16 часов назад, DariyGRAY сказал:

 

В общих чертах для меня все понятно. И то, о чем вы писали выше, я тоже слышу не впервые. Представляю как на уровне сервера можно отсечь тот или иной трафик. Кроме того, я представляю даже несколько способов. Скорее всего справился бы с ситуацией тс. Но дело в другом. Я бы потратил на это значительно больше времени чем тот, кто сталкивается с подобными ситуациями намного чаще. Поэтому и озвучил свое желание послушать о способах решения. Нормальное желание, как по мне ибо говорили в школе "Учиться никогда не поздно"

Да там методов вагон.
Хотите платный cloudflare терзайте и правила блокировки. (кстати в данном конкретном случае - там просто было бы полезно ограничить NL прокси на уровне клаудфларе).
Хотите пишите правила в NGINX или htaccess с условиями блокировки по каким-то там признакам.
Хотите на уровне PHP считайте запросы добавления в корзину, складывайте  в файлик disalow.conf айпишники и подсовывайте в NGINX.
Хотите считайте количество товаров  одной корзине и блочьте по ip на уровне php/
Хотите средстами каки-либо антиддос библиотек отбивайте.
Хотите травите на это fail2ban.
Можно nginx req_zone_limit настроить, если есть сервер.
Хотите анализируйте access.log, определяйте аномалии в запросах и блокируйте.
Любое! 
 

В данном конкретном случае - есть отягчающие обстоятельства, у нас CF не проксирует real_ip и пришлось делать детектор для заголовков CF.

 

Но в целом. Ну ничего нет такого семипядного во лбу, что нужно знать, чтобы отбить подобную школьную чушь.Самое главное в нашем деле - грамотная постановка задачи и понимание доступных средств и методов для реализации. Все остальное как форыч.

Еще раз повторю. Вот когда к вам придет 10к запросов в секунду с разных айпи на разные страницы, и они положат сервер так, что даже по ssh не вломишься - вот это проблемы.
А данная ситуация - это такое. Баловство!