centos whm sunucuda anlık trafik artışları

Merhaba,

 yaklaşık 3 aydır hiç bir sorun yok idi ancak 08,05,2014 tarihinde iki defa anlık 100 Megabit e çıktı hat kullanımı trafik hattımız 100 megabit olduğu için sunucuya erişim kesildi ve sunucuda 50 adet web sitemiz bulunmaktadır trafik sunucundan çıkış olarak görülmektedir, hangi siteden çıkış olduğunu yada bu sorunun neyden kaynaklandığını nasıl anlayabiliriz. 

söz konusu durum resimdeki gibidir , anlık kullanım 20 dk sürmüştür ve resimde görüldüğü gibi random sürede oluşuyor .  Bu soruna nasıl bir önlem alabiliriz. Yardımlarınız için şimdiden teşekkürler 

 

sunucumuzda centos üzerinde WHM kuruludur.  

 

  http://www.hizliresimyukle.com/image/4Lm

Merhabalar,

http://www.howtogeek.com/howto/ubuntu/monitor-your-website-in-real-time-with-apachetop/ bu siteyi incelerseniz istediğinize yakın birşey var. Siteleri tek tek giriş çıkışları açabilirsiniz. Ayrıca siteleri host dosyasında log kayıtları için kendiniz dosya belirleyebilirsiniz. Ama gördüğüm kadarı ile DDOS alıyorsunuz.

IPTABLES connlimit ve recent kısımlrını inceleyin DDOS için şikdeğerleri vererek sunucuya saldırıyı bir kısımda olsa kesebilirsiniz.

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP

komutu ile her IP bazında MAX 15 aynı anda bağlantı veriryosunuz mesala 🙂 

Merhaba,

 yaklaşık 3 aydır hiç bir sorun yok idi ancak 08,05,2014 tarihinde iki defa anlık 100 Megabit e çıktı hat kullanımı trafik hattımız 100 megabit olduğu için sunucuya erişim kesildi ve sunucuda 50 adet web sitemiz bulunmaktadır trafik sunucundan çıkış olarak görülmektedir, hangi siteden çıkış olduğunu yada bu sorunun neyden kaynaklandığını nasıl anlayabiliriz. 

söz konusu durum resimdeki gibidir , anlık kullanım 20 dk sürmüştür ve resimde görüldüğü gibi random sürede oluşuyor .  Bu soruna nasıl bir önlem alabiliriz. Yardımlarınız için şimdiden teşekkürler 

 

sunucumuzda centos üzerinde WHM kuruludur.  

 

  http://www.hizliresimyukle.com/image/4Lm

 

Merhabalar,

 

http://www.howtogeek.com/howto/ubuntu/monitor-your-website-in-real-time-with-apachetop/ bu siteyi incelerseniz istediğinize yakın birşey var. Siteleri tek tek giriş çıkışları açabilirsiniz. Ayrıca siteleri host dosyasında log kayıtları için kendiniz dosya belirleyebilirsiniz. Ama gördüğüm kadarı ile DDOS alıyorsunuz.

IPTABLES connlimit ve recent kısımlrını inceleyin DDOS için şikdeğerleri vererek sunucuya saldırıyı bir kısımda olsa kesebilirsiniz.

 

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP

 

komutu ile her IP bazında MAX 15 aynı anda bağlantı veriryosunuz mesala 🙂 

öncelikle hızlı cevabınız için teşekkür ederim hemen uyguladım bağlantı sınırını bakalım ne gibi sorunlarla karşılaşacaz, DDOS alıyorsak Firewall güçlendirecez ama firewall dışında bu tarz komutlarla önlem alma varsa belirtirseniz memnun olurum . 

bide log olayını biraz daha açarsanız öğrenmek isterim. 

<VirtualHost *:80>
  ServerName www.foo.com
 
  # if you want this vhost to listen to extra names, uncomment the next line
  # ServerAlias foo.com www.bar.com bar.com
 
  DocumentRoot /var/www/www.foo.com/htdocs
 
  CustomLog /var/log/apache/www.foo.com-access.log combined
  ErrorLog /var/log/apache/www.foo.com-error.log
</VirtualHost>

Log kısımlarını her site için ayırabiliyorsun buda sonradan inceleme yapmayı kolaylaştırıyor, biraz inceleme yaparsan bendeb bekledikerini rahalıkla nette bulabilirsin 🙂

Cacti grafiklerinizi tcp/udp trafiğini göstericek şekilde izleyin. Büyük ihtimalle dns amplification saldırısı alıyorsunuz. ayrıca dns sunucunuz bu makine üzerinde ise sadece sizin sunucunuza yanıt verecek şekilde ayarları olup olmadığını kontrol edin.