DoS de GET - Forum Internet - Réseau

JP · 01/06/2005, 17h44

Bonjour à tous,

Je cherche une solution pour contrer des attaques de type DoS, qui envoient des requêtes sur l'intégralité des pages d'un site.
C'est pour un serveur apache sous linux avec un firewall iptable avec snort et prelude.

Merci d'avance,
a+
JP

**JPL** · 01/06/2005, 18h38

Citation:

Posté par JP

Je cherche une solution pour contrer des attaques de type DoS, qui envoient des requêtes sur l'intégralité des pages d'un site.

Euh, c'est une attaque DoS ou tout simplement le comportement d'un aspirateur de site ?

JP · 01/06/2005, 20h57

Salut JPL,

J'ai aussi pensé à un aspirateur mais j'ai commencé à avoir de sérieux doutes quand j'ai vu qu'il repassait 4 fois sur la même page ...
Et il ne s'arrête pas tant que je n'ai pas banni l'IP manuellement.

Si tu as une solution contre les aspirateurs ça m'ira très bien, vu que le principe est le même.

Merci,
a+
JP

**Futura** · 01/06/2005, 23h35

"IL" ? c'est qui il ? la même IP ? identifié comment dans tes logs apache ? la plupart des robots ou aspirateurs signent leur passage; repasser 4 fois est possible s'il check les updates; et ta charge, tes slots ... ça évolue comment ?

Après tu utilises iptables donc un man iptables te sera bien utile : tu as le flag limit pour limiter le nombre de requètes par sec selon les paramètres de ton choix.

Pour les aspirateurs tu peux modifier ton httpd.conf pour qu'il prenne en compte une liste d'aspirateurs à blacklister.

Après tu as aussi différents modules d'apache pour limiter les flux : cf apache.org.

Google est ton ami pour le reste

PS : j'espère qu'avec snort tu as une config qui suit ... car il peut vite devenir gourmand ...

JP · 02/06/2005, 08h06

Citation:

"IL" ? c'est qui il ? la même IP ? identifié comment dans tes logs apache ?

Oui, l'IP, l'aspirateur ou le pseudo aspirateur, enfin le truc quoi

Citation:

la plupart des robots ou aspirateurs signent leur passage; repasser 4 fois est possible s'il check les updates; et ta charge, tes slots ... ça évolue comment ?

Je viens de découvrir que les aspirateurs pouvaient se dissimuler sans problème en modifiant leurs user agent et ainsi passer incognito, là c'est peut être le cas.
La charge grimpe en flèche maintenant que j'ai changé les paramètres du httpd.conf ca va mieux, disons que je ne passe plus de 0 à 100% des ressources utilisées en quelques minutes.

Citation:

Pour les aspirateurs tu peux modifier ton httpd.conf pour qu'il prenne en compte une liste d'aspirateurs à blacklister.

Faut-il encore qu'ils aient un vrai user-agent

(C'est déjà fait avec un htaccess)

Citation:

Après tu as aussi différents modules d'apache pour limiter les flux : cf apache.org.

Le problème c'est qu'à ce moment là, ça sera limité pour tous, ce n'est pas le but.

Citation:

Google est ton ami pour le reste

Je sais merci

Citation:

PS : j'espère qu'avec snort tu as une config qui suit ... car il peut vite devenir gourmand ...

Ca va pour l'instant

Sinon j'ai trouvé un script qui liste les IP et vérifie le nombre de pages ouvertes sur 1 minute, si c'est trop important l'IP est bannie, je vais essayer ça.

a+
JP

**Futura** · 02/06/2005, 11h15

Ok de toutes façons sur le web on spoof ce qu'on veut ...

Mais la majorité des aspirateurs d'utilisateurs qui veulent garder ton site en mémoire n'a aucun intérêt et ne sait pas comment reforger les paquets avec un user-agent différent.

Après certains modules d'apache sont "intelligents" : un aspi ou un DoS n'a pas le même comportement qu'un user lambda donc la limitation est gérée de manière intelligente.

Pour être sûr que c'est ça, plutôt que de regarder la charge, il vaut mieux regarder les slots apache et les connections TCP (regarder aussi quels paquets et acquittements sont envoyés pour prévenir un syn flood par ex).

Après pour les DoS ou DDoS, de toutes façons celui qui voudra faire tomber un serveur y arrivera s'il y met les moyens (cf les denis contre des gros sites comme cisco ...); là on ne peut qu'adopter des solutions de fortune ... il existe des solutions "efficaces" tant hardware que software mais elles coutent très chères ...

En attendant l'internet de demain ...

coucou747 · 04/06/2005, 15h00

j'avais vu un script php qui enregistrait l'ip de la "personne" et qui lui interdisait de voir plus de 10 pages à la minute, lorsqu'il le faisait, on lui plaçait un avertissement, et au bout de trois avertissement, une écriture dans un .htaccès pour le banir...