Répondre à la discussion
Affichage des résultats 1 à 7 sur 7

DoS de GET



  1. #1
    JP

    DoS de GET

    Bonjour à tous,

    Je cherche une solution pour contrer des attaques de type DoS, qui envoient des requêtes sur l'intégralité des pages d'un site.
    C'est pour un serveur apache sous linux avec un firewall iptable avec snort et prelude.

    Merci d'avance,
    a+
    JP

    -----


  2. Publicité
  3. #2
    JPL

    Re : DoS de GET

    Citation Envoyé par JP
    Je cherche une solution pour contrer des attaques de type DoS, qui envoient des requêtes sur l'intégralité des pages d'un site.
    Euh, c'est une attaque DoS ou tout simplement le comportement d'un aspirateur de site ?
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  4. #3
    JP

    Re : DoS de GET

    Salut JPL,

    J'ai aussi pensé à un aspirateur mais j'ai commencé à avoir de sérieux doutes quand j'ai vu qu'il repassait 4 fois sur la même page ...
    Et il ne s'arrête pas tant que je n'ai pas banni l'IP manuellement.

    Si tu as une solution contre les aspirateurs ça m'ira très bien, vu que le principe est le même.

    Merci,
    a+
    JP

  5. #4
    Futura

    Re : DoS de GET

    "IL" ? c'est qui il ? la même IP ? identifié comment dans tes logs apache ? la plupart des robots ou aspirateurs signent leur passage; repasser 4 fois est possible s'il check les updates; et ta charge, tes slots ... ça évolue comment ?

    Après tu utilises iptables donc un man iptables te sera bien utile : tu as le flag limit pour limiter le nombre de requètes par sec selon les paramètres de ton choix.

    Pour les aspirateurs tu peux modifier ton httpd.conf pour qu'il prenne en compte une liste d'aspirateurs à blacklister.

    Après tu as aussi différents modules d'apache pour limiter les flux : cf apache.org.

    Google est ton ami pour le reste

    PS : j'espère qu'avec snort tu as une config qui suit ... car il peut vite devenir gourmand ...

  6. #5
    JP

    Re : DoS de GET

    "IL" ? c'est qui il ? la même IP ? identifié comment dans tes logs apache ?
    Oui, l'IP, l'aspirateur ou le pseudo aspirateur, enfin le truc quoi
    la plupart des robots ou aspirateurs signent leur passage; repasser 4 fois est possible s'il check les updates; et ta charge, tes slots ... ça évolue comment ?
    Je viens de découvrir que les aspirateurs pouvaient se dissimuler sans problème en modifiant leurs user agent et ainsi passer incognito, là c'est peut être le cas.
    La charge grimpe en flèche maintenant que j'ai changé les paramètres du httpd.conf ca va mieux, disons que je ne passe plus de 0 à 100% des ressources utilisées en quelques minutes.

    Pour les aspirateurs tu peux modifier ton httpd.conf pour qu'il prenne en compte une liste d'aspirateurs à blacklister.
    Faut-il encore qu'ils aient un vrai user-agent
    (C'est déjà fait avec un htaccess)

    Après tu as aussi différents modules d'apache pour limiter les flux : cf apache.org.
    Le problème c'est qu'à ce moment là, ça sera limité pour tous, ce n'est pas le but.

    Google est ton ami pour le reste
    Je sais merci

    PS : j'espère qu'avec snort tu as une config qui suit ... car il peut vite devenir gourmand ...
    Ca va pour l'instant

    Sinon j'ai trouvé un script qui liste les IP et vérifie le nombre de pages ouvertes sur 1 minute, si c'est trop important l'IP est bannie, je vais essayer ça.

    a+
    JP
    Dernière modification par JP ; 02/06/2005 à 07h08.

  7. A voir en vidéo sur Futura
  8. #6
    Futura

    Re : DoS de GET

    Ok de toutes façons sur le web on spoof ce qu'on veut ...

    Mais la majorité des aspirateurs d'utilisateurs qui veulent garder ton site en mémoire n'a aucun intérêt et ne sait pas comment reforger les paquets avec un user-agent différent.

    Après certains modules d'apache sont "intelligents" : un aspi ou un DoS n'a pas le même comportement qu'un user lambda donc la limitation est gérée de manière intelligente.

    Pour être sûr que c'est ça, plutôt que de regarder la charge, il vaut mieux regarder les slots apache et les connections TCP (regarder aussi quels paquets et acquittements sont envoyés pour prévenir un syn flood par ex).

    Après pour les DoS ou DDoS, de toutes façons celui qui voudra faire tomber un serveur y arrivera s'il y met les moyens (cf les denis contre des gros sites comme cisco ...); là on ne peut qu'adopter des solutions de fortune ... il existe des solutions "efficaces" tant hardware que software mais elles coutent très chères ...

    En attendant l'internet de demain ...

  9. Publicité
  10. #7
    coucou747

    Re : DoS de GET

    j'avais vu un script php qui enregistrait l'ip de la "personne" et qui lui interdisait de voir plus de 10 pages à la minute, lorsqu'il le faisait, on lui plaçait un avertissement, et au bout de trois avertissement, une écriture dans un .htaccès pour le banir...
    on peu polémiquer longtemps comme ça, et est-ce que le monde tourneras plus rond ?

Sur le même thème :

Discussions similaires

  1. mal au dos
    Par caroline dans le forum Santé et médecine générale
    Réponses: 26
    Dernier message: 12/11/2016, 21h32
  2. MS-Dos : IP internet
    Par Valenten dans le forum Internet - Réseau - Sécurité générale
    Réponses: 3
    Dernier message: 14/06/2006, 11h16
  3. probème de dos
    Par nowhere_incompétante dans le forum Santé et médecine générale
    Réponses: 1
    Dernier message: 04/07/2005, 22h10
  4. Commande MS DOS
    Par yoann26 dans le forum Logiciel - Software - Open Source
    Réponses: 6
    Dernier message: 05/02/2005, 19h08
  5. ms dos
    Par sim dans le forum Logiciel - Software - Open Source
    Réponses: 3
    Dernier message: 15/02/2004, 23h52