RE: [ddos] DDOS HTTP Layer 7

le genre d'attaque qui est repouss via mod_qos pour apache2 avec une config basic
sinon, un petit script qui deny les post / (a moins qu'on puisse post un formulaire sur ton site sans fichier derrire, genre http://blabla.com/ *POST* (notons que si le formulaire va explicitement sur "index.php" ou autre, c'est bon et il faut juste bloquer le /))
Yannick Morel - Web Alliance wrote ..
> Ok, quels sont les ports viss ?
> De : Laurent Tastet [mailto:ltastet@agencenetdesign.com]
> Envoy : vendredi 11 octobre 2013 18:20
> : ddos@ml.ovh.net
> Objet : Re: [ddos] DDoS HTTP Layer 7
> malheureusement , bloquer des pays pour ce type d'attaque me semble difficile car
> elle est distribue au niveau mondial (en vrifiant quelques IP , celles-ci proviennent
> aussi bien d'Asie, d'Afrique , Amrique du sud , Europe ...etc) => a sent le Botnet
> plein nez
> en vrifiant sur spamhaus.org, beaucoup d'IP sont marques
> comme tant infectes par Pushdo ou Zeroaccess dans la XBL/CBL , ce qui peut tre
> l'origine du problme
> j'ai contact Octave, il a essay l'Anti-DDoS Layer 7 sur mon VPS , mais ceci a
> engendr trop de soucis, donc pour l'instant c'est en standby.
> l'attaque tourne depuis Mardi, et pour l'instant je la contiens , mais si une solution
> en amont est possible, ce serait le top.
> Le 11 octobre 2013 17:32, Yannick Morel - Web Alliance
> a crit :
> Bonjour,
> Je subis exactement la mme attaque depuis mardi matin sur un de mes serveurs ddis
> et avec la mme requte POST et le mme user agent. Dans mon cas c'est un SYN flood
> sur les ports 25 et 80 ( peu prs rparti 50/50). J'ai donc bloqu dans iptable
> le port 25 ce qui a largement soulag le serveur. Voir si c'est identique pour
> vous.
> Je suis galement dans les mmes proportions d'IP plus de 200 000. J'ai pu activer
> la mitigation force mais elle ne sert absolument rien, le support tech m'a dit
> qu'il s'agit d'un cas intressant d'attaque et que si a intresse Oles il
> pourra peut-tre m'aider. Malheureusement il a quitt la ML juste aprs que j'ai
> envoy le mail dcrivant toutes mes tentatives sans me donner d'indications.
> On m'a conseill par contre d'installer varnish, je ne sais pas si cela va aider,
> a a l'air prometteur, j'ai commenc le paramtrer mais n'ai pas termin et
> ce n'est pas vident car j'ai une cinquantaine de sites sur le serveur (ils fonctionnent
> normalement malgr l'attaque) et je ne peux pas me permettre de coupure. Je gre
> l'attaque en htaccess galement en renvoyant une 404...
> J'ai essay de bloquer tous les paquets POST dans iptables mais cela ralenti trop
> le serveur par rapport renvoyer une 404...
> Il serait bien de pouvoir bloquer de telles requtes dans le parefeu d'OVH en dtectant
> une string ou bien par regex et galement de pouvoir bloquer des pays et des user
> agents...
> De : Laurent Tastet [mailto:ltastet@agencenetdesign.com]
> Envoy : vendredi 11 octobre 2013 13:02
> : ddos@ml.ovh.net
> Objet : [ddos] DDoS HTTP Layer 7
> bonjour,
> je subis depuis plusieurs jours une attaque sur un VPS , qui se caractrise par
> des requetes HTTP en POST , sans paramtres , et ceci en rafales. Il semblerait
> que cette attaque provienne d'un botnet ou de machine infectes, car je compte
> + de 200 000 adresses IP diffrentes par jour qui effectuent ces requtes (environ
> 1 million de requetes par jour)
> j'ai pu contrer celles-ci via un htaccess , mais il serait prfrable de bloquer
> cette attaque en amont pour ne pas surcharger le serveur inutilement
> Je n'arrive pas activer la mitigation sur le VPS car celui-ci ne fait pas parti
> de l'offre VPS 2013 (plus ancien) , et l'API V6 ne reconnait pas son IP
> j'ai tent via iptables de dropper les connexions correspondantes (via , mais la
> charge CPU augmente beaucoup trop et les connexions apache ne se ferment pas correctement
> (nombre de workers trop lv)
> a) nombre d'adresses IP en 1 journe :
> zcat access_log.processed.1.gz grep "POST / HTTP/1.1" awk {'print $1'} sort
> -u wc -l
> => 213075
> b) extrait du log apache
> 31.61.140.240 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0" 405 463 "-" "Mozilla/4.0
> (compatible MSIE 6.0 Windows NT 5.1 SV1)"
> 88.250.28.154 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0
> (compatible MSIE 6.0 Windows NT 5.1 SV1)"
> 62.113.12.162 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0
> (compatible MSIE 6.0 Windows NT 5.1 SV1)"
> 189.18.56.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0
> (compatible MSIE 6.0 Windows NT 5.1 SV1)"
> 85.50.203.59 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1" 405 463 "-" "Mozilla/4.0
> (compatible MSIE 6.0 Windows NT 5.1 SV1)"
> 41.222.239.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0"
> 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1 SV1)"
> je vous remercie par avance pour votre aide