Ataque DDoS o sobrecarga de bots AEM con tráfico

El sitio está sobrecargado debido a un tráfico no estándar.

Entorno

CQ5.x, AEM 6.x, AEM Dispatcher

Causa

Las causas potenciales podrían ser cualquiera de las siguientes:

  • Ataque de denegación de servicio
  • Bot de búsqueda o bot de extracción que llega a URL caras
  • Aumento adicional del tráfico debido a artículos populares, comunicados de prensa, etc.

Resolución

Para depurar un problema de este tipo, lo mejor es tener habilitado el registro adecuado a nivel dispatcher:

1. Habilitar el registro del encabezado X-Forwarded-For:

En el access_log del servidor HTTP Apache, añádalo al archivo httpd.conf en los servidores dispatcher:

LogFormat "%{X-Forwarded-For}i %h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

En Microsoft IIS, añada X-Forwarded-For en la configuración Inicio de sesión avanzado.

Eso registraría la IP correcta del usuario final.

Utilice la salida que muestra la IP y el User-Agent para analizar si se trata de un ataque malicioso y bloquear las IP ofensivas si tiene sentido.

2. Configure el nivel de registro de dispatcher.log para depurar:

Apache:
En los archivos de configuración de httpd debe haber una sección para el dispatcher.  Configure DispatcherLogLevel a 3:

DispatcherLogLevel 3

IIS:

Modifique dis_iis.ini y establezca el loglevel a 3:

loglevel=3

3. Revise esta documentación y el webinar sobre el almacenamiento en caché del dispatcher. Tome medidas para mejorar el almacenamiento en caché del despachador, que ayuda a evitar las interrupciones causadas por picos de tráfico: