nicht angemeldet
Merkwürdige "DoS-Attacke" Apache / Netscape 4
OK, vorneweg, ich habe im Netz nicht mal annähernd was zu diesem Phänomen gefunden.
Situation: Linux 2.2.x mit Apache 1.3.26 (mod_rewrite) und PHP 4.1.2.
Wir merken plötzlich, daß der Apache nicht mehr reagiert, im Apache-Log findet sich entsprechend "MaxClients limit reached" (MaxClients steht auf 75).
Ursachenforschung im Access-Log: ein User mit Netscape 4.x (mal 4.05, mal 4.5) hat ganz normal auf unserer Website gesurft, dann 40 Minuten keinen Zugriff von dieser IP, dann auf einmal 2-3 Zugriffe pro Sekunde auf ein und dieselbe Seite (eine PHP-Seite ohne DB-Zugriff). Das geht dann so lange weiter, bis eben MaxClients erreicht ist.
Insgesamt trat das Problem dieses Jahr dreimal auf. Eine absichtliche DoS-Attacke halte ich für unwahrscheinlich.
Meine Fragen dazu:
1. Ist so etwas schon mal jemandem passiert (der Client ist immer ein Netscape 4)?
2. Könnte das Problem an mod_rewrite liegen? Wir haben unter der .de-Domain eine einzelne "RewriteRule ^(.*)$ http://www.XXXXXX.com/$1 [R,L]", die alles von .de auf .com umleitet; der DoS-ende User kam auch über .de rein. Andererseits ist das ganze nicht reproduzierbar, es gehen täglich Hunderte User mit Netscape 4 auf die Seiten.
Für die aufgerufene Seite gab es auch kein spezifische Rewrite-Rule auf .com-Seite.
3. Was für Abwehrmöglichkeiten gibt es (unser Admin hat schon mod_throttle versucht, das half aber nicht wirklich)?
4. Ist es normal, daß 3 Zugriffe pro Sekunde auf eine PHP-Seite den Server schon zum Abschmieren bringen (hardwaremäßig ist die Kiste ziemlich gut, 800 MHz, 256 MB RAM, superfixe Netzanbindung)?
Die PHP-Seite lädt allerdings auch ca. 200 KB an Includes...
-
hallo Mischa,
du siehst, nahezu den ganzen Tag hat sich bisher keiner zu einer Reaktion aufraffen können, obwohl (nahezu) alle diejenigen, die von der Sache was verstehen, im Lauf des Tages im Forum waren/sind.
Situation: Linux 2.2.x mit Apache 1.3.26 (mod_rewrite) und PHP 4.1.2.
Da geht es bereits los: "Linux 2.2.x" ist nicht definiert. Wahrschenlich meinst du deine Kernelversion, aber dir ist klar, daß es zwischen den diversen Distributionen teilweise erhebliche (und kernelunabhängige) Unterschiede gibt?
Meine Fragen dazu:
- Ist so etwas schon mal jemandem passiert (der Client ist immer ein Netscape 4)?
Nein, mir jedenfalls nicht. Ich bin aber auch kein Provider bzw. Hoster.
- Könnte das Problem an mod_rewrite liegen?
Möglicherweise, aber:
Für die aufgerufene Seite gab es auch kein spezifische Rewrite-Rule
...dann eben nicht.
- Was für Abwehrmöglichkeiten gibt es
Da ist mir leider mangels Detailkenntnis des Problems keine Aussage oder Vermutung möglich
- Ist es normal, daß 3 Zugriffe pro Sekunde auf eine PHP-Seite den Server schon zum Abschmieren bringen
Nein, das ist es überhaupt nicht, es sei denn, ihr hättet euren Server vollkommen falsch konfiguriert - dann würde dasselbe Problem aber wahrscheinlich auch bei anderen Zugriffen auftreten.
hardwaremäßig ist die Kiste ziemlich gut, 800 MHz, 256 MB RAM
naja, von "ziemlich gut" sollte man da wohl nicht sprechen. Die CPU (welche eigentlich? Und gibts dort einen Fehler?) ist relativ uninteressant in diesem Fall, aber 256 MB RAM sind für einen Hoster entscheidend zu wenig. Das Vierfache dürfte euren Bedarf wahrscheinlich grade so abdecken.
superfixe Netzanbindung)?
Das ist nicht exakt genug ausgesagt. Es gab Zeiten, in denen 28.8er Modems als "superfix" galten.
Die PHP-Seite lädt allerdings auch ca. 200 KB an Includes...
Das sollte eigentlich völlig unwichtig sein. Aber: welche und wieviele Prozesse werden denn von dieser PHP-Seite angestoßen?
Grüße aus Berlin
Christoph S.