Bot Attacken - Wie isoliert ihr die einzelnen User?
Posted: Wed 2. Jul 2025, 12:43
Hallo,
ich habe auf meinen Servern diverse Botattacken.
Situation:
Also zB. hat eine Seite normalerweise 300 User pro Tag. Und hatte dann gestern 150.000 Zugriffe.
Der Angriff hat sich dann auch auf andere Seiten auf demselben Server fortgesetzt, bei dem dann nochmal 4 andere Seiten gemeinsam 100.000 Zugriffe hatten.
Vieles geht auf 404 und 301 um Lücken zu suchen. Es wird also meist gar nicht die Datenbankperformance saturiert, sondern eher Apache selbst.
Interessant ist, dass die CPU und RAM bei weitem nicht ausgelastet sind, aber es wird einfach so geballert, dass es sich auswirkt.
Dadurch ist dann Hostingpanel und andere Seiten auch betroffen mit Timeouts und vielen wartenden Anfragen.
Throtteling z.B. durch Wordfence hilft hier nicht so richtig.
Ansatz 1
Bots filtern mit Jail: viewtopic.php?p=54985#p54985
Ansatz 2
Eventuell muss man die maximale Anzahl der MaxRequestWorkers erhöhen, da ja noch genug Ram verfügbar ist?
<IfModule mpm_event_module>
StartServers 4
MinSpareThreads 25
MaxSpareThreads 75
ThreadLimit 64
ThreadsPerChild 25
MaxRequestWorkers 400
MaxConnectionsPerChild 0
</IfModule>
Ansatz 3
Ich habe ein AutoIPBlocking mit Rollover entwickelt, welches ich eventuell hier einstelle, wenn es ausgereift ist. Hat mir schon ein paar Mal sehr geholfen. Aber es ist noch nicht ausgereift, da es nicht gute Crawler unterscheiden kann.
Ansatz 4
Nichtsdestotrotz interessiert mich aber auch, ob man die Ressourcen nicht isolieren kann. Irgendwie schafft dieser Angriff die Ressourcen für alle zu blockieren.
Es wäre doch besser, dass z.B. nur die eine Seite sich 10% der Leistung nimmt und beim Ausreizen dann down geht anstatt der gesamte Server.
Schöne Grüße
ich habe auf meinen Servern diverse Botattacken.
Situation:
Also zB. hat eine Seite normalerweise 300 User pro Tag. Und hatte dann gestern 150.000 Zugriffe.
Der Angriff hat sich dann auch auf andere Seiten auf demselben Server fortgesetzt, bei dem dann nochmal 4 andere Seiten gemeinsam 100.000 Zugriffe hatten.
Vieles geht auf 404 und 301 um Lücken zu suchen. Es wird also meist gar nicht die Datenbankperformance saturiert, sondern eher Apache selbst.
Interessant ist, dass die CPU und RAM bei weitem nicht ausgelastet sind, aber es wird einfach so geballert, dass es sich auswirkt.
Dadurch ist dann Hostingpanel und andere Seiten auch betroffen mit Timeouts und vielen wartenden Anfragen.
Throtteling z.B. durch Wordfence hilft hier nicht so richtig.
Ansatz 1
Bots filtern mit Jail: viewtopic.php?p=54985#p54985
Ansatz 2
Eventuell muss man die maximale Anzahl der MaxRequestWorkers erhöhen, da ja noch genug Ram verfügbar ist?
<IfModule mpm_event_module>
StartServers 4
MinSpareThreads 25
MaxSpareThreads 75
ThreadLimit 64
ThreadsPerChild 25
MaxRequestWorkers 400
MaxConnectionsPerChild 0
</IfModule>
Ansatz 3
Ich habe ein AutoIPBlocking mit Rollover entwickelt, welches ich eventuell hier einstelle, wenn es ausgereift ist. Hat mir schon ein paar Mal sehr geholfen. Aber es ist noch nicht ausgereift, da es nicht gute Crawler unterscheiden kann.
Ansatz 4
Nichtsdestotrotz interessiert mich aber auch, ob man die Ressourcen nicht isolieren kann. Irgendwie schafft dieser Angriff die Ressourcen für alle zu blockieren.
Es wäre doch besser, dass z.B. nur die eine Seite sich 10% der Leistung nimmt und beim Ausreizen dann down geht anstatt der gesamte Server.
Schöne Grüße