Post Flooding Apache

Post Flooding Apache integrato in fail2ban per proteggere il server da un attacco DDOS che ultimamente stà mettendo a dura prova i sistemi GNU/Linux portando rapidamente ad un esaurimento delle risorse e mettendo in ginocchio le reti lan ed i gestori internet sul lato wan.

POST FLOODING APACHE

Post Flooding Apache, come tipologia di attacco DdoS è spesso utilizzata per cercare di rendere inutilizzabile il portale aziendale e far crashare il sistema con migliaia di interrogazioni e tentativi di invio email, prendendo di mira le newsletter e soprattutto i sistemi abilitati all’invio di email.

Il Post Flooding Apache, utilizza dei bug presenti soprattutto in sistemi non aggiornati o che integrano il servizio web server con il servizio server di posta elettronica, portando al collasso i server, le reti e soprattutto esponendo i servizi server alla messa al bando del sistema di posta elettronica (IP e nome dominio) da parte delle organizzazioni anti spam internazionali e non di meno a violazioni alle regolamentazioni informatiche emesse dall’Unione Europea (GDPR 679/2016 E.U.).

Il Post Flooding Apache può essere combattuto in un modo molto semplice e come spesso accade, viene in soccorso il fail2ban, software che si integra con le IPTABLES di Linux, che in men che non si dica renderà questo tipo di attacco inutile e libererà in un tempo accettabile l’impegno della rete del gestore internet, l’impegno della rete interna e soprattutto l’impegno del processore e della memoria del server, riportando tutto alla quasi normalità.

Per attivare il filtro Post Flooding Apache, bisogna innanzitutto creare un file nel sistema Linux:

nano /etc/fail2ban/filter.d/apache-postflood.conf

all’apertura della maschera di inserimento dati, dobbiamo semplicemente scrivere:

 

[Definition]

# match these lines to find a login fail

failregex = ^<HOST> .*\”POST [^\”]+\”

# matches this example line:

# 217.172.38.46 – – [16/Dec/2015:11:27:32 +1000] “POST /index.php HTTP/1.0” 302 270 “-” “-“

#

# don’t ignore anything

ignoreregex =

 

salvare il tutto e proseguire aprendo il file precedentemente creato jail.local o se ancora non è stato fatto, utilizzare il file di sistema jail.conf ricordando però che tale file a seguito di un eventuale aggiornamento potrebbe essere sovrascritto portando alla perdita di questa ed altre modifiche che nel tempo potrebbero essere state effettuate

nano /etc/fail2ban/jail.local

 

[apache-postflood]

enabled = true

# block these ports

port=https,http

# filter in /etc/fail2ban/filter.d/apache-postflood.conf

filter = apache-postflood

logpath = /var/log/apache2/access.log

action = %(action_)s

findtime = 3600

maxretry = 4

bantime = 21600

 

Il filtro Post Flooding Apache, così impostato e già stato testato su molti altri sistemi GNU/Linux, consentendo di mitigare questo tipo di attacco molto rapidamente, interfacciandosi con le iptables e negando l’accesso al sistema da parte degli IP incriminati che spesso sono centinaia e facenti parte di bot-net.

Qualora il filtro sembrasse eccessivamente restrittivo, sarà sufficiente inserire il valore 20 per il findtime e 10 nel maxretry.

Ciò consentirà di controllare un attacco perpetrato da un IP per 10 volte in 20 secondi.

Back Blog I.T.