RE: [ddos] DDOS HTTP Layer 7

пятница, 11 октября 2013 г. 21:02:31
 
Ok, quels sont les ports viss ?
De : Laurent Tastet [mailto:ltastet@agencenetdesign.com]
Envoy : vendredi 11 octobre 2013 18:20
: ddos@ml.ovh.net
Objet : Re: [ddos] DDoS HTTP Layer 7
malheureusement , bloquer des pays pour ce type d'attaque me semble difficile car elle est distribue au niveau mondial (en vrifiant quelques IP , celles-ci proviennent aussi bien d'Asie, d'Afrique , Amrique du sud , Europe ...etc) => a sent le Botnet plein nez
en vrifiant sur spamhaus.org, beaucoup d'IP sont marques comme tant infectes par Pushdo ou Zeroaccess dans la XBL/CBL , ce qui peut tre l'origine du problme
j'ai contact Octave, il a essay l'Anti-DDoS Layer 7 sur mon VPS , mais ceci a engendr trop de soucis, donc pour l'instant c'est en standby.
l'attaque tourne depuis Mardi, et pour l'instant je la contiens , mais si une solution en amont est possible, ce serait le top.
Le 11 octobre 2013 17:32, Yannick Morel - Web Alliance a crit :
Bonjour,
Je subis exactement la mme attaque depuis mardi matin sur un de mes serveurs ddis et avec la mme requte POST et le mme user agent. Dans mon cas c'est un SYN flood sur les ports 25 et 80 ( peu prs rparti 50/50). J'ai donc bloqu dans iptable le port 25 ce qui a largement soulag le serveur. Voir si c'est identique pour vous.
Je suis galement dans les mmes proportions d'IP plus de 200 000. J'ai pu activer la mitigation force mais elle ne sert absolument rien, le support tech m'a dit qu'il s'agit d'un cas intressant d'attaque et que si a intresse Oles il pourra peut-tre m'aider. Malheureusement il a quitt la ML juste aprs que j'ai envoy le mail dcrivant toutes mes tentatives sans me donner d'indications.
On m'a conseill par contre d'installer varnish, je ne sais pas si cela va aider, a a l'air prometteur, j'ai commenc le paramtrer mais n'ai pas termin et ce n'est pas vident car j'ai une cinquantaine de sites sur le serveur (ils fonctionnent normalement malgr l'attaque) et je ne peux pas me permettre de coupure. Je gre l'attaque en htaccess galement en renvoyant une 404...
J'ai essay de bloquer tous les paquets POST dans iptables mais cela ralenti trop le serveur par rapport renvoyer une 404...
Il serait bien de pouvoir bloquer de telles requtes dans le parefeu d'OVH en dtectant une string ou bien par regex et galement de pouvoir bloquer des pays et des user agents...
De : Laurent Tastet [mailto:ltastet@agencenetdesign.com]
Envoy : vendredi 11 octobre 2013 13:02
: ddos@ml.ovh.net
Objet : [ddos] DDoS HTTP Layer 7
bonjour,
je subis depuis plusieurs jours une attaque sur un VPS , qui se caractrise par des requetes HTTP en POST , sans paramtres , et ceci en rafales. Il semblerait que cette attaque provienne d'un botnet ou de machine infectes, car je compte + de 200 000 adresses IP diffrentes par jour qui effectuent ces requtes (environ 1 million de requetes par jour)
j'ai pu contrer celles-ci via un htaccess , mais il serait prfrable de bloquer cette attaque en amont pour ne pas surcharger le serveur inutilement
Je n'arrive pas activer la mitigation sur le VPS car celui-ci ne fait pas parti de l'offre VPS 2013 (plus ancien) , et l'API V6 ne reconnait pas son IP
j'ai tent via iptables de dropper les connexions correspondantes (via , mais la charge CPU augmente beaucoup trop et les connexions apache ne se ferment pas correctement (nombre de workers trop lv)
a) nombre d'adresses IP en 1 journe :
zcat access_log.processed.1.gz grep "POST / HTTP/1.1" awk {'print $1'} sort -u wc -l
=> 213075
b) extrait du log apache
31.61.140.240 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
88.250.28.154 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
62.113.12.162 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
189.18.56.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
85.50.203.59 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
41.222.239.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
je vous remercie par avance pour votre aide
Ok, quels sont les ports viss ?
 
 
De : Laurent Tastet [mailto:ltastet@agencenetdesign.com]
Envoy : vendredi 11 octobre 2013 18:20
 : ddos@ml.ovh.net
Objet : Re: [ddos] DDoS HTTP Layer 7
 
 
malheureusement , bloquer des pays pour ce type d'attaque me semble difficile car elle est distribue au niveau mondial (en vrifiant quelques IP , celles-ci proviennent aussi bien d'Asie, d'Afrique , Amrique du sud , Europe ...etc) =>
a sent le Botnet plein nez
 
en vrifiant sur spamhaus.org, beaucoup d'IP sont marques comme tant infectes par Pushdo ou Zeroaccess dans la XBL/CBL , ce qui peut tre l'origine du problme 
 
j'ai contact Octave, il a essay l'Anti-DDoS Layer 7 sur mon VPS , mais ceci a engendr trop de soucis, donc pour l'instant c'est en standby. 
 
l'attaque tourne depuis Mardi, et pour l'instant je la contiens , mais si une solution en amont est possible, ce serait le top.
 
 
 
 
Le 11 octobre 2013 17:32, Yannick Morel - Web Alliance <yannick-morel@web-alliance.fr> a crit :
Bonjour,
 
Je subis exactement la mme attaque depuis mardi matin sur un de mes serveurs ddis et avec la mme
requte POST et le mme user agent. Dans mon cas c’est un SYN flood sur les ports 25 et 80 ( peu prs rparti 50/50). J’ai donc bloqu dans iptable le port 25 ce qui a largement soulag le serveur. Voir si c’est identique pour vous.
Je suis galement dans les mmes proportions d’IP plus de 200 000. J’ai pu activer la mitigation force mais elle ne sert absolument rien, le support tech m’a dit qu’il s’agit d’un  cas intressant  d’attaque et que si a intresse Oles il pourra peut-tre
m’aider. Malheureusement il a quitt la ML juste aprs que j’ai envoy le mail dcrivant toutes mes tentatives sans me donner d’indications.
On m’a conseill par contre d’installer varnish, je ne sais pas si cela va aider, a a  l’air prometteur, j’ai commenc le paramtrer mais n’ai pas termin et ce n’est pas vident car j’ai une cinquantaine de sites sur le serveur (ils fonctionnent normalement
malgr l’attaque) et je ne peux pas me permettre de coupure. Je gre l’attaque en htaccess galement en renvoyant une 404…
J’ai essay de bloquer tous les paquets POST dans iptables mais cela ralenti trop le serveur par rapport renvoyer une 404…
Il serait bien de pouvoir bloquer de telles requtes dans le parefeu d’OVH en dtectant une string ou bien par regex et galement de pouvoir bloquer des pays et des user agents…
 
 
De : Laurent Tastet [mailto:ltastet@agencenetdesign.com]
Envoy : vendredi 11 octobre 2013 13:02
 : ddos@ml.ovh.net
Objet : [ddos] DDoS HTTP Layer 7
 
bonjour, 
 
je subis depuis plusieurs jours une attaque sur un VPS , qui se caractrise par des requetes HTTP en POST , sans paramtres , et ceci en rafales. Il semblerait que cette attaque
provienne d'un botnet ou de machine infectes, car je compte + de 200 000 adresses IP diffrentes par jour qui effectuent ces requtes  (environ 1 million de requetes par jour)
 
j'ai pu contrer celles-ci via un htaccess , mais il serait prfrable de bloquer cette attaque en amont pour ne pas surcharger le serveur inutilement
 
Je n'arrive pas activer la mitigation sur le VPS car celui-ci ne fait pas parti de l'offre VPS 2013 (plus ancien) , et l'API V6 ne reconnait pas son IP
 
j'ai tent via iptables de dropper les connexions correspondantes (via , mais la charge CPU augmente beaucoup trop et les connexions apache ne se ferment pas correctement (nombre
de workers trop lv)
 
a) nombre d'adresses IP en 1 journe : 
zcat access_log.processed.1.gz grep "POST / HTTP/1.1" awk {'print $1'} sort -u wc -l
=> 213075 
 
b) extrait du log apache 
31.61.140.240 - - [11/Oct/2013:12:57:21 񩁸] "POST / HTTP/1.0" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
88.250.28.154 - - [11/Oct/2013:12:57:21 񩁸] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
62.113.12.162 - - [11/Oct/2013:12:57:21 񩁸] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
189.18.56.75 - - [11/Oct/2013:12:57:21 񩁸] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
85.50.203.59 - - [11/Oct/2013:12:57:21 񩁸] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
41.222.239.75 - - [11/Oct/2013:12:57:21 񩁸] "POST / HTTP/1.0" 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1
SV1)"
 
je vous remercie par avance pour votre aide
 
 
 
Тэги: ddos
Copyright © 2012-2021 by KILL DDoS.
8 (800) 100-93-12 (звонок бесплатный)

admin@killddos.ru