<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=iso-8859-1" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.6001.18783">
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT size=2 face=Arial>Ed</FONT></DIV>
<DIV><FONT size=2 face=Arial></FONT>&nbsp;</DIV>
<DIV><FONT size=2 face=Arial>can you explain better what you mean for:<FONT 
size=3 face="Times New Roman">&nbsp; "they are all attacks usual smattering of 
language and framework probe urls" ..</FONT></FONT></DIV>
<DIV><FONT size=2 face=Arial><FONT size=3 
face="Times New Roman"></FONT></FONT>&nbsp;</DIV>
<DIV><FONT size=2 face=Arial><FONT size=3 face="Times New Roman">is this a 
bandwitdth attack like iFrame DDoS? I would think IP filtering of that amount of 
IPs is possible but is not the only defense of DDoS (*), you&nbsp;need to apply 
defense in depth&nbsp;at both network and application layer. At the network 
layer you can&nbsp;routing traffic to other servers, use DPI/packet dropping, 
set&nbsp;routers defenses like Ciso IOS, set Intrusion Prevention Systems 
defenses etc.&nbsp; On the application it depends on what you can do with the 
web pages on the site, can you overload the&nbsp;web server&nbsp;with mutliple 
requests to visit web pages, do these have large images 
etc...</FONT></FONT></DIV>
<DIV><FONT size=2 face=Arial><FONT size=3 
face="Times New Roman"></FONT></FONT>&nbsp;</DIV>
<DIV><FONT size=2 face=Arial><FONT size=3 face="Times New Roman">Hope you have 
some DDoS security expert reply to this post, I am not, sorry...hope this is 
usueful</FONT></FONT></DIV>
<DIV><FONT size=2 face=Arial></FONT>&nbsp;</DIV>
<DIV><FONT size=2 face=Arial>Regards</FONT></DIV>
<DIV><FONT size=2 face=Arial></FONT>&nbsp;</DIV>
<DIV><FONT size=2 face=Arial>Marco</FONT></DIV>
<DIV><FONT size=2 face=Arial></FONT>&nbsp;</DIV>
<DIV><FONT size=2 face=Arial>(*)</FONT></DIV>
<DIV><A 
href="http://en.wikipedia.org/wiki/Denial-of-service_attack">http://en.wikipedia.org/wiki/Denial-of-service_attack</A></DIV>
<DIV><FONT size=2 face=Arial><FONT size=3 
face="Times New Roman"></FONT><BR>&nbsp;</DIV></FONT>
<BLOCKQUOTE 
style="BORDER-LEFT: #000000 2px solid; PADDING-LEFT: 5px; PADDING-RIGHT: 0px; MARGIN-LEFT: 5px; MARGIN-RIGHT: 0px">
  <DIV style="FONT: 10pt arial">----- Original Message ----- </DIV>
  <DIV 
  style="FONT: 10pt arial; BACKGROUND: #e4e4e4; font-color: black"><B>From:</B> 
  <A title=esumerfd@bitbashers.org href="mailto:esumerfd@bitbashers.org">Edward 
  Sumerfield</A> </DIV>
  <DIV style="FONT: 10pt arial"><B>To:</B> <A 
  title=owasp-cincinnati@lists.owasp.org 
  href="mailto:owasp-cincinnati@lists.owasp.org">OWASP Cincinnati</A> </DIV>
  <DIV style="FONT: 10pt arial"><B>Sent:</B> Wednesday, June 24, 2009 8:49 
  AM</DIV>
  <DIV style="FONT: 10pt arial"><B>Subject:</B> [Owasp-cincinnati] Attack 
  Recovery</DIV>
  <DIV><BR></DIV>
  <DIV class=gmail_quote>I have a customer that is being hit with over 3 
  millions requests a day and they have no customers yet :-) They are all 
  attacks with the usual smattering of language and framework probe 
  urls.<BR><BR>My initial response was to try to firewall block the requesting 
  IPs but there are 21,000 unique source IPs driving the attack.<BR><BR>So, 
  <BR><BR>1) Is it reasonable to block 21K IPs?<BR><BR>2) is there another 
  solution that I should be looking for?<BR><BR>3) Is there a security 
  consultant that we could hire to address this issue?<BR><BR>Ed 
  Sumerfield<BR>Ed Sumerfield Consulting, LLC<BR><A 
  href="http://www.edsumerfieldconsulting.com" 
  target=_blank>http://www.edsumerfieldconsulting.com</A><BR>513-295-7016<BR><BR><BR></DIV><BR>
  <P>
  <HR>

  <P></P>_______________________________________________<BR>Owasp-cincinnati 
  mailing 
  list<BR>Owasp-cincinnati@lists.owasp.org<BR>https://lists.owasp.org/mailman/listinfo/owasp-cincinnati<BR></BLOCKQUOTE></BODY></HTML>