Re: [ddos] Re: DDOS HTTP Layer 7

пятница, 11 октября 2013 г. 17:15:41
 
Vous pouvez toujours en liste blanche des adresses IP pour les robots sur
chenilles.
On 11 Oct 2013 13:03, wrote:
> Bonjour,
> Trs bon choix si vous voulez :
> - drfrencer votre site en bloquant GoogleBot et autres robots
> d'indexation.
> - augmenter le nombre de requtes vers votre site (donc la charge du
> serveur)
> a+
> JC.
> alistair@crazys.org a crit:
>> Vous pouvez galement installer nginx avec le module "testcookie" et au
>> proxy pour apache. Seul le trafic lgitime se rendre apache.
>>
>> Regards,
>> Alistair Mackenzie
>> [M] Networking Solutions, Ltd.
>> 12:32
>> Salut,
>> Ca me parat assez bizarre qu'un botnet puisse atteindre cette taille
>> (200k
>> IPs) - quelqu'un aurait une ide comment c'est possible de gnrer autant
>> de
>> requtes avec autant d'IPs diffrentes?
>>
>> On 11/10/2013 13:12, Laurent Tastet wrote:
>>
>>> Merci pour la reponse je vais voir avec Octave
>>> Le 11 oct. 2013 13:04, "Charley SEDEAU" > charlus97@gmail.com>> a crit :
>>> La mitigation standard c'tait layer 4 only.
>>> Le layer 7 tait en test via octave. Qui n'est (a priori) plus la.
>>> Tente de le contacter sur oles@OVH.net
>>> Le 11 oct. 2013 13:02, "Laurent Tastet" >> >
>>> a crit :
>>> bonjour,
>>> je subis depuis plusieurs jours une attaque sur un VPS , qui se
>>> caractrise par des requetes HTTP en POST , sans paramtres , et
>>> ceci en rafales. Il semblerait que cette attaque provienne d'un
>>> botnet ou de machine infectes, car je compte + de 200 000
>>> adresses IP diffrentes par jour qui effectuent ces requtes
>>> (environ 1 million de requetes par jour)
>>> j'ai pu contrer celles-ci via un htaccess , mais il serait
>>> prfrable de bloquer cette attaque en amont pour ne pas
>>> surcharger le serveur inutilement
>>> Je n'arrive pas activer la mitigation sur le VPS car celui-ci
>>> ne fait pas parti de l'offre VPS 2013 (plus ancien) , et l'API
>>> V6 ne reconnait pas son IP
>>> j'ai tent via iptables de dropper les connexions
>>> correspondantes (via , mais la charge CPU augmente beaucoup trop
>>> et les connexions apache ne se ferment pas correctement (nombre
>>> de workers trop lv)
>>> a) nombre d'adresses IP en 1 journe :
>>> zcat access_log.processed.1.gz grep "POST / HTTP/1.1" awk
>>> {'print $1'} sort -u wc -l
>>> => 213075
>>> b) extrait du log apache
>>> 31.61.140.240 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0"
>>> 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1
>>> SV1)"
>>> 88.250.28.154 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1"
>>> 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1
>>> SV1)"
>>> 62.113.12.162 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1"
>>> 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1
>>> SV1)"
>>> 189.18.56.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1"
>>> 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1
>>> SV1)"
>>> 85.50.203.59 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1"
>>> 405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1
>>> SV1)"
>>> 41.222.239.75 - - [11/Oct/2013:12:57:21
>>> +0200] "POST / HTTP/1.0" 405 463 "-" "Mozilla/4.0 (compatible
>>> MSIE 6.0 Windows NT 5.1 SV1)"
>>> je vous remercie par avance pour votre aide
>>>
>>>
>>> Laurent Tastet - ltastet@agencenetdesign.com
>>> >> >
>>> Net Design - http://www.net-design.fr >> >
>>> standard : +33 (0)4.50.244.244
>>> tlcopie : +33 (0)4.50.244.245 >> 245>
>>>
>>>
>>
>>
Vous pouvez toujours en liste blanche des adresses IP pour les robots sur chenilles.
On 11 Oct 2013 13:03, <tech@maxifoot.com> wrote:
Bonjour,
Trs bon choix si vous voulez :
- drfrencer votre site en bloquant GoogleBot et autres robots d'indexation.
- augmenter le nombre de requtes vers votre site (donc la charge du serveur)
a+
JC.
alistair@crazys.org a crit:
Vous pouvez galement installer nginx avec le module "testcookie" et au
proxy pour apache. Seul le trafic lgitime se rendre apache.
Regards,
Alistair Mackenzie
[M] Networking Solutions, Ltd.
Salut,
Ca me parat assez bizarre qu'un botnet puisse atteindre cette taille (200k
IPs) - quelqu'un aurait une ide comment c'est possible de gnrer autant de
requtes avec autant d'IPs diffrentes?
On 11/10/2013 13:12, Laurent Tastet wrote:
Merci pour la reponse je vais voir avec Octave
Le 11 oct. 2013 13:04, "Charley SEDEAU" <charlus97@gmail.com <mailto:charlus97@gmail.com>> a crit :
La mitigation standard c'tait layer 4 only.
Le layer 7 tait en test via octave. Qui n'est (a priori) plus la.
Tente de le contacter sur oles@OVH.net
Le 11 oct. 2013 13:02, "Laurent Tastet" <ltastet@agencenetdesign.com
<mailto:ltastet@agencenetdesign.com>> a crit :
bonjour,
je subis depuis plusieurs jours une attaque sur un VPS , qui se
caractrise par des requetes HTTP en POST , sans paramtres , et
ceci en rafales. Il semblerait que cette attaque provienne d'un
botnet ou de machine infectes, car je compte + de 200 000
adresses IP diffrentes par jour qui effectuent ces requtes
(environ 1 million de requetes par jour)
j'ai pu contrer celles-ci via un htaccess , mais il serait
prfrable de bloquer cette attaque en amont pour ne pas
surcharger le serveur inutilement
Je n'arrive pas activer la mitigation sur le VPS car celui-ci
ne fait pas parti de l'offre VPS 2013 (plus ancien) , et l'API
V6 ne reconnait pas son IP
j'ai tent via iptables de dropper les connexions
correspondantes (via , mais la charge CPU augmente beaucoup trop
et les connexions apache ne se ferment pas correctement (nombre
de workers trop lv)
a) nombre d'adresses IP en 1 journe :
zcat access_log.processed.1.gz grep "POST / HTTP/1.1" awk
{'print $1'} sort -u wc -l
=> 213075
b) extrait du log apache
31.61.140.240 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.0"
405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1
SV1)"
88.250.28.154 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1"
405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1
SV1)"
62.113.12.162 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1"
405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1
SV1)"
189.18.56.75 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1"
405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1
SV1)"
85.50.203.59 - - [11/Oct/2013:12:57:21 +0200] "POST / HTTP/1.1"
405 463 "-" "Mozilla/4.0 (compatible MSIE 6.0 Windows NT 5.1
SV1)"
41.222.239.75 <tel:41.222.239.75> - - [11/Oct/2013:12:57:21
+0200] "POST / HTTP/1.0" 405 463 "-" "Mozilla/4.0 (compatible
MSIE 6.0 Windows NT 5.1 SV1)"
je vous remercie par avance pour votre aide
----------------------------------------------------------------------
Laurent Tastet - ltastet@agencenetdesign.com
<mailto:ltastet@agencenetdesign.com>
Net Design - http://www.net-design.fr <http://www.net-design.fr/>
standard : +33 (0)4.50.244.244 <tel:%280%294.50.244.244>
tlcopie : +33 (0)4.50.244.245 <tel:%2B33%20%280%294.50.244.245>
----------------------------------------------------------------------


Тэги: ddos
Copyright © 2012-2021 by KILL DDoS.
8 (800) 100-93-12 (звонок бесплатный)

admin@killddos.ru