Attack DOS utilisant CLOSE_WAIT

Discussion dans 'Administration d'un site Web' créé par Topsitemaker, 4 Juin 2016.

  1. Topsitemaker
    Topsitemaker WRInaute impliqué
    Inscrit:
    19 Novembre 2006
    Messages:
    536
    J'aime reçus:
    0
    Bonjour,

    Il y a quelques jours, on s'est fait attaqué par une IP se trouvant par l'étranger avec une sollicitation assez lente, c'est à dire ne pouvant pas être bloqué par IPtables en mettant un nombre de connexion par seconde.
    l'IP de l'attaquant ne se trouve pas dans les logs Apache, en tapant -http://notreserveur.com/server-status on voit que les process avec l'ip attaquant sont en status "Working" et occupe l'ensemble des process disponible, bloque donc les nouvelles connexions et provoque le DOS.

    Code:
    Current Time: Saturday, 04-Jun-2016 18:15:37 CEST
    Restart Time: Saturday, 04-Jun-2016 03:52:29 CEST
    Parent Server Generation: 9
    ...
    512 requests currently being processed, 0 idle workers
    WRWWWWRWWWWWWWRWWWWWWWWRWWWWWWWWWWWWWKWWWWWWWWWWWWWWWWWWWWRWWWWW
    WWWWRWWWWWWWWWWWWRWWWWWWWWWWWWWWWWWWWWWWWRWWWWWWWWWWKWWWWWWWWWWW
    WWWWRWWWWWWWWWWWWWWWWWWWWWRWWWWWWWWWWWWWWWWWWWWKWWRWWWWWWWWWWWWW
    WWWWWWWWWWWWWWWRWWWRWWWWWWWWWWWWWWWWWRWWWRWWWWWWWWWWWWWWWRWWWWWW
    WWWRWWWRRWWWWWRWWWWWWWWWWWWRWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWW
    WWRWRWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWRWWWWWRWWWWWWWWWWWWWWWWWWWWW
    WWWWWWWWWWWWKWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWCWWWWWW
    WWWRWWWWWRWWWWWWWWWWWWWWRWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWRWWWWWWWW
    

    mais en faisant un netstat -anp, mais les process apache avec l''IP attaquant se trouvent dans un état "CLOSE_WAIT".

    On a bloqué en dur la plage d'IPs provenant d'un FAI de ce pays étranger. Le problème c'est que l'attaquant est revenu depuis quelques jours avec un FAI d'un autre pays étranger, et avec la même protocole d'attaque.

    Avez-vous une méthode ou une piste pour killer ce DOS utilisant le "CLOSE_WAIT" ?
     
  2. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 022
    J'aime reçus:
    291
  3. madri2
    madri2 WRInaute impliqué
    Inscrit:
    29 Décembre 2007
    Messages:
    655
    J'aime reçus:
    0
  4. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 546
    J'aime reçus:
    0
    Hello,

    effectivement c'est une requête de type "slowloris", très classique. Tu peux effectivement essayer de mettre des quotas pour limiter le problème, ou bien comme le suggère spout tu peux utiliser des softs qui n'y sont pas ou peu sensibles (NginX, HAproxy, Varnish, etc). La solution "facile", c'est de mettre CloudFlare en front de ton site, tant que l'attaquant ne connait pas ta véritable IP.
     
Chargement...
Similar Threads - Attack DOS utilisant Forum Date
Traffic travis VS serpattacks VS market samurai Référencement Google 31 Mai 2012
tests de dosage d'annonces AdSense AdSense 20 Juin 2020
2 hreflang sur le même domaine et dossier Référencement international (langues, pays) 4 Mai 2020
Rediriger uniquement le dossier sans les pages internes Netlinking, backlinks, liens et redirections 17 Février 2020
Rediriger site dans un dossier à la racine Demandes d'avis et de conseils sur vos sites 14 Novembre 2019
htaccess et navigation dans les dossiers URL Rewriting et .htaccess 6 Novembre 2019
htaccess, vrais dossiers et dossiers simulés URL Rewriting et .htaccess 5 Novembre 2019
Dossiers et index htaccess URL Rewriting et .htaccess 16 Octobre 2019
Htacces REQUEST_URI sur des URLs d'un dossier à mettre en noindex URL Rewriting et .htaccess 25 Septembre 2019
Empêcher Googlebot de crawler/indexer tout un dossier Débuter en référencement 19 Avril 2019
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice