[ddos] Re: DDOS HTTP Layer 7

пятница, 11 октября 2013 г. 16:02:52
 
Bonjour,
Trs bon choix si vous voulez :
- drfrencer votre site en bloquant GoogleBot et autres robots
d'indexation.
- augmenter le nombre de requtes vers votre site (donc la charge du
serveur)
a+
JC.
alistair@crazys.org a crit:
> Vous pouvez galement installer nginx avec le module "testcookie" et au
> proxy pour apache. Seul le trafic lgitime se rendre apache.
> Regards,
> Alistair Mackenzie
> [M] Networking Solutions, Ltd.
> Salut,
> Ca me parat assez bizarre qu'un botnet puisse atteindre cette taille (200k
> IPs) - quelqu'un aurait une ide comment c'est possible de gnrer autant de
> requtes avec autant d'IPs diffrentes?
> On 11/10/2013 13:12, Laurent Tastet wrote:
>> Merci pour la reponse je vais voir avec Octave
>>
>> Le 11 oct. 2013 13:04, "Charley SEDEAU" > > a crit :
>>
>> La mitigation standard c'tait layer 4 only.
>>
>> Le layer 7 tait en test via octave. Qui n'est (a priori) plus la.
>>
>> Tente de le contacter sur oles@OVH.net
>>
>> Le 11 oct. 2013 13:02, "Laurent Tastet" > > a crit :
>>
>> bonjour,
>>
>> je subis depuis plusieurs jours une attaque sur un VPS , qui se
>> caractrise par des requetes HTTP en POST , sans paramtres , et
>> ceci en rafales. Il semblerait que cette attaque provienne d'un
>> botnet ou de machine infectes, car je compte + de 200 000
>> adresses IP diffrentes par jour qui effectuent ces requtes
>> (environ 1 million de requetes par jour)
>>
>> j'ai pu contrer celles-ci via un htaccess , mais il serait
>> prfrable de bloquer cette attaque en amont pour ne pas
>> surcharger le serveur inutilement
>>
>> Je n'arrive pas activer la mitigation sur le VPS car celui-ci
>> ne fait pas parti de l'offre VPS 2013 (plus ancien) , et l'API
>> V6 ne reconnait pas son IP
>>
>> j'ai tent via iptables de dropper les connexions
>> correspondantes (via , mais la charge CPU augmente beaucoup trop
>> et les connexions apache ne se ferment pas correctement (nombre
>> de workers trop lv)
>>
>> a) nombre d'adresses IP en 1 journe :
>> zcat access_log.processed.1.gz grep "POST / HTTP/1.1" awk
>> {'print $1'} sort -u wc -l
>> => 213075
>>
>> b) extrait du log apache
>> 31.61.140.240 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0"
>> 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1
>> SV1)"
>> 88.250.28.154 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1"
>> 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1
>> SV1)"
>> 62.113.12.162 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1"
>> 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1
>> SV1)"
>> 189.18.56.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1"
>> 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1
>> SV1)"
>> 85.50.203.59 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1"
>> 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1
>> SV1)"
>> 41.222.239.75 - - [11/Oct/2013:12:57:21
>> +0200] "POST / HTTP/1.0" 405 463 "-" "Mozilla/4.0 (compatible
>> MSIE 6.0 Windows NT 5.1 SV1)"
>>
>> je vous remercie par avance pour votre aide
>>
>>
>>
>>
>>
>> Laurent Tastet - ltastet@agencenetdesign.com
>>
>> Net Design - http://www.net-design.fr
>> standard : +33 (0)4.50.244.244
>> tlcopie : +33 (0)4.50.244.245
>>
>>
>>
Тэги: ddos
Copyright © 2012-2019 by KILL DDoS.
8 (800) 100-93-12 (звонок бесплатный)

admin@killddos.ru