Bonjour à tous,
Je cherche une solution pour contrer des attaques de type DoS, qui envoient des requêtes sur l'intégralité des pages d'un site.
C'est pour un serveur apache sous linux avec un firewall iptable avec snort et prelude.
Merci d'avance,
a+
JP
Euh, c'est une attaque DoS ou tout simplement le comportement d'un aspirateur de site ?Envoyé par JP
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Salut JPL,
J'ai aussi pensé à un aspirateur mais j'ai commencé à avoir de sérieux doutes quand j'ai vu qu'il repassait 4 fois sur la même page ...
Et il ne s'arrête pas tant que je n'ai pas banni l'IP manuellement.
Si tu as une solution contre les aspirateurs ça m'ira très bien, vu que le principe est le même.
Merci,
a+
JP
"IL" ? c'est qui il ? la même IP ? identifié comment dans tes logs apache ? la plupart des robots ou aspirateurs signent leur passage; repasser 4 fois est possible s'il check les updates; et ta charge, tes slots ... ça évolue comment ?
Après tu utilises iptables donc un man iptables te sera bien utile : tu as le flag limit pour limiter le nombre de requètes par sec selon les paramètres de ton choix.
Pour les aspirateurs tu peux modifier ton httpd.conf pour qu'il prenne en compte une liste d'aspirateurs à blacklister.
Après tu as aussi différents modules d'apache pour limiter les flux : cf apache.org.
Google est ton ami pour le reste
PS : j'espère qu'avec snort tu as une config qui suit ... car il peut vite devenir gourmand ...
Oui, l'IP, l'aspirateur ou le pseudo aspirateur, enfin le truc quoi"IL" ? c'est qui il ? la même IP ? identifié comment dans tes logs apache ?
Je viens de découvrir que les aspirateurs pouvaient se dissimuler sans problème en modifiant leurs user agent et ainsi passer incognito, là c'est peut être le cas.la plupart des robots ou aspirateurs signent leur passage; repasser 4 fois est possible s'il check les updates; et ta charge, tes slots ... ça évolue comment ?
La charge grimpe en flèche maintenant que j'ai changé les paramètres du httpd.conf ca va mieux, disons que je ne passe plus de 0 à 100% des ressources utilisées en quelques minutes.
Faut-il encore qu'ils aient un vrai user-agentPour les aspirateurs tu peux modifier ton httpd.conf pour qu'il prenne en compte une liste d'aspirateurs à blacklister.
(C'est déjà fait avec un htaccess)
Le problème c'est qu'à ce moment là, ça sera limité pour tous, ce n'est pas le but.Après tu as aussi différents modules d'apache pour limiter les flux : cf apache.org.
Je sais merciGoogle est ton ami pour le reste
Ca va pour l'instantPS : j'espère qu'avec snort tu as une config qui suit ... car il peut vite devenir gourmand ...
Sinon j'ai trouvé un script qui liste les IP et vérifie le nombre de pages ouvertes sur 1 minute, si c'est trop important l'IP est bannie, je vais essayer ça.
a+
JP
Dernière modification par JP ; 02/06/2005 à 07h08.
Ok de toutes façons sur le web on spoof ce qu'on veut ...
Mais la majorité des aspirateurs d'utilisateurs qui veulent garder ton site en mémoire n'a aucun intérêt et ne sait pas comment reforger les paquets avec un user-agent différent.
Après certains modules d'apache sont "intelligents" : un aspi ou un DoS n'a pas le même comportement qu'un user lambda donc la limitation est gérée de manière intelligente.
Pour être sûr que c'est ça, plutôt que de regarder la charge, il vaut mieux regarder les slots apache et les connections TCP (regarder aussi quels paquets et acquittements sont envoyés pour prévenir un syn flood par ex).
Après pour les DoS ou DDoS, de toutes façons celui qui voudra faire tomber un serveur y arrivera s'il y met les moyens (cf les denis contre des gros sites comme cisco ...); là on ne peut qu'adopter des solutions de fortune ... il existe des solutions "efficaces" tant hardware que software mais elles coutent très chères ...
En attendant l'internet de demain ...
j'avais vu un script php qui enregistrait l'ip de la "personne" et qui lui interdisait de voir plus de 10 pages à la minute, lorsqu'il le faisait, on lui plaçait un avertissement, et au bout de trois avertissement, une écriture dans un .htaccès pour le banir...
