Re: [ddos] DDOS HTTP Layer 7

пятница, 11 октября 2013 г. 20:19:39
 
malheureusement , bloquer des pays pour ce type d'attaque me semble
difficile car elle est distribue au niveau mondial (en vrifiant quelques
IP , celles-ci proviennent aussi bien d'Asie, d'Afrique , Amrique du sud ,
Europe ...etc) => a sent le Botnet plein nez
en vrifiant sur spamhaus.org, beaucoup d'IP sont marques comme tant
infectes par Pushdo ou Zeroaccess dans la XBL/CBL , ce qui peut tre
l'origine du problme
j'ai contact Octave, il a essay l'Anti-DDoS Layer 7 sur mon VPS , mais
ceci a engendr trop de soucis, donc pour l'instant c'est en standby.
l'attaque tourne depuis Mardi, et pour l'instant je la contiens , mais si
une solution en amont est possible, ce serait le top.
Le 11 octobre 2013 17:32, Yannick Morel - Web Alliance <
yannick-morel@web-alliance.fr> a crit :
> Bonjour,****
> ** **
> Je subis exactement la mme attaque depuis mardi matin sur un de mes
> serveurs ddis et avec la mme requte POST et le mme user agent. Dans
> mon cas cest un SYN flood sur les ports 25 et 80 ( peu prs rparti
> 50/50). Jai donc bloqu dans iptable le port 25 ce qui a largement soulag
> le serveur. Voir si cest identique pour vous.
> Je suis galement dans les mmes proportions dIP plus de 200 000. Jai
> pu activer la mitigation force mais elle ne sert absolument rien, le
> support tech ma dit quil sagit dun cas intressant dattaque et que
> si a intresse Oles il pourra peut-tre maider. Malheureusement il a
> quitt la ML juste aprs que jai envoy le mail dcrivant toutes mes
> tentatives sans me donner dindications.
> On ma conseill par contre dinstaller varnish, je ne sais pas si cela va
> aider, a a lair prometteur, jai commenc le paramtrer mais nai pas
> termin et ce nest pas vident car jai une cinquantaine de sites sur le
> serveur (ils fonctionnent normalement malgr lattaque) et je ne peux pas
> me permettre de coupure. Je gre lattaque en htaccess galement en
> renvoyant une 404
> Jai essay de bloquer tous les paquets POST dans iptables mais cela
> ralenti trop le serveur par rapport renvoyer une 404
> Il serait bien de pouvoir bloquer de telles requtes dans le parefeu dOVH
> en dtectant une string ou bien par regex et galement de pouvoir bloquer
> des pays et des user agents****
> ** **
> ** **
> *De :* Laurent Tastet [mailto:ltastet@agencenetdesign.com]
> *Envoy :* vendredi 11 octobre 2013 13:02
> * :* ddos@ml.ovh.net
> *Objet :* [ddos] DDoS HTTP Layer 7****
> ** **
> bonjour, ****
> ** **
> je subis depuis plusieurs jours une attaque sur un VPS , qui se
> caractrise par des requetes HTTP en POST , sans paramtres , et ceci en
> rafales. Il semblerait que cette attaque provienne d'un botnet ou de
> machine infectes, car je compte + de 200 000 adresses IP diffrentes par
> jour qui effectuent ces requtes (environ 1 million de requetes par jour)
> ****
> ** **
> j'ai pu contrer celles-ci via un htaccess , mais il serait prfrable de
> bloquer cette attaque en amont pour ne pas surcharger le serveur inutilement
> ****
> ** **
> Je n'arrive pas activer la mitigation sur le VPS car celui-ci ne fait
> pas parti de l'offre VPS 2013 (plus ancien) , et l'API V6 ne reconnait pas
> son IP****
> ** **
> j'ai tent via iptables de dropper les connexions correspondantes (via ,
> mais la charge CPU augmente beaucoup trop et les connexions apache ne se
> ferment pas correctement (nombre de workers trop lv)****
> ** **
> a) nombre d'adresses IP en 1 journe : ****
> zcat access_log.processed.1.gz grep "POST / HTTP/1.1" awk {'print $1'}
> sort -u wc -l****
> => 213075 ****
> ** **
> b) extrait du log apache ****
> 31.61.140.240 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0" 405 463
> "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"****
> 88.250.28.154 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463
> "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"****
> 62.113.12.162 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463
> "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"****
> 189.18.56.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463
> "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"****
> 85.50.203.59 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463
> "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"****
> 41.222.239.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0" 405 463
> "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"****
> ** **
> je vous remercie par avance pour votre aide****
> ** **
> ** **
> **
malheureusement , bloquer des pays pour ce type d'attaque me semble difficile car elle est distribue au niveau mondial (en vrifiant quelques IP , celles-ci proviennent aussi bien d'Asie, d'Afrique , Amrique du sud , Europe ...etc) => a sent le Botnet plein nez
en vrifiant sur spamhaus.org, beaucoup d'IP sont marques comme tant infectes par Pushdo ou Zeroaccess dans la XBL/CBL , ce qui peut tre l'origine du problme
j'ai contact Octave, il a essay l'Anti-DDoS Layer 7 sur mon VPS , mais ceci a engendr trop de soucis, donc pour l'instant c'est en standby.
l'attaque tourne depuis Mardi, et pour l'instant je la contiens , mais si une solution en amont est possible, ce serait le top.
Le 11 octobre 2013 17:32, Yannick Morel - Web Alliance <yannick-morel@web-alliance.fr> a crit :
Bonjour,

Je subis exactement la mme attaque depuis mardi matin sur un de mes serveurs ddis et avec la mme requte POST et le mme user agent. Dans mon cas cest
un SYN flood sur les ports 25 et 80 ( peu prs rparti 50/50). Jai donc bloqu dans iptable le port 25 ce qui a largement soulag le serveur. Voir si cest identique pour vous.
Je suis galement dans les mmes proportions dIP plus de 200000. Jai pu activer la mitigation force mais elle ne sert absolument rien, le support tech ma dit quil sagit dun cas intressant dattaque et que si a intresse Oles il pourra peut-tre
maider. Malheureusement il a quitt la ML juste aprs que jai envoy le mail dcrivant toutes mes tentatives sans me donner dindications.
On ma conseill par contre dinstaller varnish, je ne sais pas si cela va aider, a a lair prometteur, jai commenc le paramtrer mais nai pas termin et ce nest pas vident car jai une cinquantaine de sites sur le serveur (ils fonctionnent normalement
malgr lattaque) et je ne peux pas me permettre de coupure. Je gre lattaque en htaccess galement en renvoyant une 404
Jai essay de bloquer tous les paquets POST dans iptables mais cela ralenti trop le serveur par rapport renvoyer une 404
Il serait bien de pouvoir bloquer de telles requtes dans le parefeu dOVH en dtectant une string ou bien par regex et galement de pouvoir bloquer des pays et des user agents


De: Laurent Tastet [mailto:ltastet@agencenetdesign.com]
Envoy: vendredi 11 octobre 2013 13:02
: ddos@ml.ovh.net
Objet: [ddos] DDoS HTTP Layer 7

bonjour,

je subis depuis plusieurs jours une attaque sur un VPS , qui se caractrise par des requetes HTTP en POST , sans paramtres , et ceci en rafales. Il semblerait que cette attaque provienne d'un botnet ou de machine infectes, car je compte
+ de 200 000 adresses IP diffrentes par jour qui effectuent ces requtes (environ 1 million de requetes par jour)

j'ai pu contrer celles-ci via un htaccess , mais il serait prfrable de bloquer cette attaque en amont pour ne pas surcharger le serveur inutilement

Je n'arrive pas activer la mitigation sur le VPS car celui-ci ne fait pas parti de l'offre VPS 2013 (plus ancien) , et l'API V6 ne reconnait pas son IP

j'ai tent via iptables de dropper les connexions correspondantes (via , mais la charge CPU augmente beaucoup trop et les connexions apache ne se ferment pas correctement (nombre de workers trop lv)

a) nombre d'adresses IP en 1 journe :
zcat access_log.processed.1.gz grep "POST / HTTP/1.1" awk {'print $1'} sort -u wc -l
=> 213075

b) extrait du log apache
31.61.140.240 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
88.250.28.154 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
62.113.12.162 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
189.18.56.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
85.50.203.59 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
41.222.239.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"

je vous remercie par avance pour votre aide



Тэги: ddos
Copyright © 2012-2021 by KILL DDoS.
8 (800) 100-93-12 (звонок бесплатный)

admin@killddos.ru