Re: [ddos] DDOS HTTP Layer 7

пятница, 11 октября 2013 г. 15:12:41
 
Merci pour la reponse je vais voir avec Octave
Le 11 oct. 2013 13:04, "Charley SEDEAU" a crit :
> La mitigation standard c'tait layer 4 only.
> Le layer 7 tait en test via octave. Qui n'est (a priori) plus la.
> Tente de le contacter sur oles@OVH.net
> Le 11 oct. 2013 13:02, "Laurent Tastet" a
> crit :
>> bonjour,
>>
>> je subis depuis plusieurs jours une attaque sur un VPS , qui se
>> caractrise par des requetes HTTP en POST , sans paramtres , et ceci en
>> rafales. Il semblerait que cette attaque provienne d'un botnet ou de
>> machine infectes, car je compte + de 200 000 adresses IP diffrentes par
>> jour qui effectuent ces requtes (environ 1 million de requetes par jour)
>>
>> j'ai pu contrer celles-ci via un htaccess , mais il serait prfrable de
>> bloquer cette attaque en amont pour ne pas surcharger le serveur inutilement
>>
>> Je n'arrive pas activer la mitigation sur le VPS car celui-ci ne fait
>> pas parti de l'offre VPS 2013 (plus ancien) , et l'API V6 ne reconnait pas
>> son IP
>>
>> j'ai tent via iptables de dropper les connexions correspondantes (via ,
>> mais la charge CPU augmente beaucoup trop et les connexions apache ne se
>> ferment pas correctement (nombre de workers trop lv)
>>
>> a) nombre d'adresses IP en 1 journe :
>> zcat access_log.processed.1.gz grep "POST / HTTP/1.1" awk {'print $1'}
>> sort -u wc -l
>> => 213075
>>
>> b) extrait du log apache
>> 31.61.140.240 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0" 405 463
>> "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
>> 88.250.28.154 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463
>> "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
>> 62.113.12.162 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463
>> "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
>> 189.18.56.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463
>> "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
>> 85.50.203.59 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463
>> "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
>> 41.222.239.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0" 405 463
>> "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
>>
>> je vous remercie par avance pour votre aide
>>
>>
>>
>>
>> Laurent Tastet - ltastet@agencenetdesign.com
>> Net Design - http://www.net-design.fr
>> standard : +33 (0)4.50.244.244
>> tlcopie : +33 (0)4.50.244.245
>>
>>
Merci pour la reponse je vais voir avec Octave
Le 11 oct. 2013 13:04, "Charley SEDEAU" <charlus97@gmail.com> a crit:
La mitigation standard c'tait layer 4 only.
Le layer 7 tait en test via octave. Qui n'est (a priori) plus la.
Tente de le contacter sur oles@OVH.net
Le 11 oct. 2013 13:02, "Laurent Tastet" <ltastet@agencenetdesign.com> a crit :
bonjour,je subis depuis plusieurs jours une attaque sur un VPS , qui se caractrise par des requetes HTTP en POST , sans paramtres , et ceci en rafales. Il semblerait que cette attaque provienne d'un botnet ou de machine infectes, car je compte + de 200 000 adresses IP diffrentes par jour qui effectuent ces requtes (environ 1 million de requetes par jour)
j'ai pu contrer celles-ci via un htaccess , mais il serait prfrable de bloquer cette attaque en amont pour ne pas surcharger le serveur inutilementJe n'arrive pas activer la mitigation sur le VPS car celui-ci ne fait pas parti de l'offre VPS 2013 (plus ancien) , et l'API V6 ne reconnait pas son IP
j'ai tent via iptables de dropper les connexions correspondantes (via , mais la charge CPU augmente beaucoup trop et les connexions apache ne se ferment pas correctement (nombre de workers trop lv)
a) nombre d'adresses IP en 1 journe :zcat access_log.processed.1.gz grep "POST / HTTP/1.1" awk {'print $1'} sort -u wc -l=> 213075
b) extrait du log apache31.61.140.240 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
88.250.28.154 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"62.113.12.162 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
189.18.56.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"85.50.203.59 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
41.222.239.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
je vous remercie par avance pour votre aide
Laurent Tastet - ltastet@agencenetdesign.comNet
Design - http://www.net-design.frstandard : +33
(0)4.50.244.244tlcopie : +33 (0)4.50.244.245
Тэги: ddos
Copyright © 2012-2019 by KILL DDoS.
8 (800) 100-93-12 (звонок бесплатный)

admin@killddos.ru