水曜日には、Webサーバー側でサービスが不安定になりました。私たちは一般的に、私たちのサイトに接続している2,000〜10,000人のユーザーに対処しており、水曜日15時35分ごろ、1つのIPアドレス(大学の顧客)からすべてのログインページに3万件以上の接続(5分以内)このページへのリクエストでは、460のHTTPコードが返されました。IISサーバーが中断しました - 何千ものhttp 460レスポンス - これを引き起こす可能性と防止方法
オンラインで3〜4,000人しかいないときに1人のユーザーがオンラインで気にすることがなくても、ログインページへのこの多くの接続の背後には他に理由がないため、これは悪意のあるものとみなします。
460エラーを引き起こすために誰かが達成しようとしていたことは、これを生成する既知の攻撃ですか?私はそれを月曜日にセキュリティテスターに渡して調べるつもりですが、私はそれを最初に置くと思っていました。
接続の状態はまだ変わっていませんが、接続はまだ完全には進行していませんが、CPUは少なくタイムアウトが発生しています。 ...
私たちは稼働しています12 Windows 2012 R2 IIS WebサーバーはAmazon ELBを通じて、私たちのWebサイトはASP.NETベースで、SQLサーバーのCPUとバッチ要求はありませんでした。これらの接続が発生したときに増加する。
ここ30K +ログから例行です:
RequestTime RequestIPID RequestProcessingTime BackendProcessingTime ClientResponseTime ELBResponseCode BackendResponseCode ReceivedBytes SentBytes UserAgentID httpquerystring httpmethod Path Domain
28/09/2016 15:37:00 IP 0.002 0 -1 460 - 60 0 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36 OrgID=nameoforg GET Login.aspx https://hiddendomain
よろしく リアム
こんにちはジョン、ご回答いただきありがとうございます。私はそれが単一のIPからのDoS攻撃だと理解しています。しかし、IAMはこのような保護を提供していない.IAMはAWS権利管理のためである。誰がAPIやコンソール内でアクセスすることができますか?アクセスキーなど。私たちはCloudflareも使用しますが、それは完全保護モードではありません。私は460 HTTPレスポンスの原因となるものの答えにもっと目を向けていたので、これを止めるためのテストを実行しました。また、完全なCloudFlare保護がこれを止める場合もありました。 Cloudflareは、100個のURLが必要で、現在テスト中であるため、完全に実装されていません。 –
Webログを確認し、応答に460 HTTPステータスコードを生成した要求を調べることはできますか?次に、テスト中に同様の要求と応答を再現しようと試みることができます。 – JohnH
こんにちはJohnさん、ログには上記の例よりも情報が表示されません。リクエストデータそのものだけが表示されるからです。どのようにして誰かがサーバを460にする方法を知りたいのですが、テストによってそれを防ぐ方法を見ていきたいと思います。 –