[ddos] DDOS HTTP Layer 7

пятница, 11 октября 2013 г. 15:01:34
 
bonjour,
je subis depuis plusieurs jours une attaque sur un VPS , qui se caractrise
par des requetes HTTP en POST , sans paramtres , et ceci en rafales. Il
semblerait que cette attaque provienne d'un botnet ou de machine infectes,
car je compte + de 200 000 adresses IP diffrentes par jour qui effectuent
ces requtes (environ 1 million de requetes par jour)
j'ai pu contrer celles-ci via un htaccess , mais il serait prfrable de
bloquer cette attaque en amont pour ne pas surcharger le serveur inutilement
Je n'arrive pas activer la mitigation sur le VPS car celui-ci ne fait pas
parti de l'offre VPS 2013 (plus ancien) , et l'API V6 ne reconnait pas son
IP
j'ai tent via iptables de dropper les connexions correspondantes (via ,
mais la charge CPU augmente beaucoup trop et les connexions apache ne se
ferment pas correctement (nombre de workers trop lv)
a) nombre d'adresses IP en 1 journe :
zcat access_log.processed.1.gz grep "POST / HTTP/1.1" awk {'print $1'}
sort -u wc -l
=> 213075
b) extrait du log apache
31.61.140.240 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0" 405 463
"-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
88.250.28.154 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463
"-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
62.113.12.162 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463
"-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
189.18.56.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-"
"Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
85.50.203.59 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-"
"Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
41.222.239.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0" 405 463
"-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
je vous remercie par avance pour votre aide
Laurent Tastet - ltastet@agencenetdesign.com
Net Design - http://www.net-design.fr
standard : +33 (0)4.50.244.244
tlcopie : +33 (0)4.50.244.245
bonjour,je subis depuis plusieurs jours une attaque sur un VPS , qui se caractrise par des requetes HTTP en POST , sans paramtres , et ceci en rafales. Il semblerait que cette attaque provienne d'un botnet ou de machine infectes, car je compte + de 200 000 adresses IP diffrentes par jour qui effectuent ces requtes (environ 1 million de requetes par jour)
j'ai pu contrer celles-ci via un htaccess , mais il serait prfrable de bloquer cette attaque en amont pour ne pas surcharger le serveur inutilementJe n'arrive pas activer la mitigation sur le VPS car celui-ci ne fait pas parti de l'offre VPS 2013 (plus ancien) , et l'API V6 ne reconnait pas son IP
j'ai tent via iptables de dropper les connexions correspondantes (via , mais la charge CPU augmente beaucoup trop et les connexions apache ne se ferment pas correctement (nombre de workers trop lv)
a) nombre d'adresses IP en 1 journe :zcat access_log.processed.1.gz grep "POST / HTTP/1.1" awk {'print $1'} sort -u wc -l=> 213075
b) extrait du log apache31.61.140.240 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
88.250.28.154 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"62.113.12.162 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
189.18.56.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"85.50.203.59 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
41.222.239.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"je vous remercie par avance pour votre aide
Laurent Tastet - ltastet@agencenetdesign.comNet
Design - http://www.net-design.frstandard : +33
(0)4.50.244.244tlcopie : +33 (0)4.50.244.245
Тэги: ddos
Copyright © 2012-2019 by KILL DDoS.
8 (800) 100-93-12 (звонок бесплатный)

admin@killddos.ru