Des attaques sur mon serveur

[douniacreation]

Bonjour,

J'ai un serveur dédié chez OVH, avec un contrat d'infogérance avec un autre prestataire.mais depuis 2 semaines mon site est down souvent et quand il marche il est trop lent.

le load average: 1016.28, 686.00, 860.35 et après redémarrage de apache load average: 186.28, 686.00, 860.35. (aprés 2 minutes)

Mon administrateur du serveur me dis que c'est des attaques externes (peut être des ennemis) et qu'il n'arrive pas les ploqués tous parce que les logiciels qui bloque ce genre d'attaque ne marche pas bien avec le streaming (j'ai un site de streaming ) et que la meilleur solution est un firewall hard chez OVH.


Que pensez vous de tous ca ?

Merci

 

[jcaron]

Sans quelques logs qui montrent ces attaques, difficile de dire grand chose...

Jacques.

 

[aladdin]

La sécurité est une chose à prendre très au sérieux; après, tout dépend de la criticité et du volume de visites de ton site.
si tu as 1000 visites / jour sur un dédié, et que ton serveur bloque .... il faudra peut être revoir ta config car normalement ton serveur est sencé tenir. maintenant si t'as un gros trafic ca change tout...

Je suppose que tu dois subir des attaques DoS ou DDoS qui exploitent des brèches dans les protocoles de streaming, dans ce cas, si le nombre d'attaques est très important, un firewall soft (installé sur ton serveur même) consommera lui même énormément de ressources pour tout traiter et bloquer ... ce qui ralenti ton serveur. L'intérêt d'un firewall hard c'est que ton serveur sera totalement soulagé de cette charge supplémentaire qui pourrait te permettre du coup de gérer deux ou trois fois plus de volume (réel) sur ton site.

Si ton site est rentable, n'hésite pas à investir dans un vrai firewall

 

[YoyoS]

Je crois qu'il y a une option PRO pour prendre un firewall hard assez facilement chez ovh. En fait c'est eux qui attaquent les dédiés pour vendre leurs firewalls ca se trouve ? :mrgreen:

 

[Julia41]

Ca dépends ce qu'ils ont en face pour attaquer, si tu as du 100Mb et que tu te fais attaquer avec 1000 * 100Kb même avec un bon firewall, ça "passera" pas.
Si c'est un truc plus "de noob", généralement ça se bloque plutôt simplement.
Tu peux tester cette commande :

netstat -tan | grep SYN_RECV

Voir si c'est du gros SYN qui tâche (facile à bloquer) ou non.
Si ça te sort une liste énorme d'IP différente, ça va être un peu galère.
J'ai ce petit script qui des fois marche, d'autres fois non :
-admin-serv.net/blog/2009/11/18/19/bloquer-des-attaques-ddos/

Au niveau d'Apache, ça devrait pas bouffer autant quand même, mais je pense que ce qui est evasive et tout le reste doit être activé.

 

[douniacreation]

Quand je fais

netstat -tanpu|grep SYN_RECV |wc -l

J'ai : 98 .

Cela veux dire koi ?

 

[Julia41]

que tu as au moins 98 connexions de type SYN.
Tu devrais pouvoir les dégager "rapidement", regarde surtout si les IPs changent et sont les mêmes/différentes.

Après si c'est du streaming, peut-être que le soft qui sert à "streamer" les "génère" (c'est normal que ça en fasse).

Normalement ça devrait quand même pouvoir fonctionner.

Tu peux aussi "interdire le ping" des fois ça aide pas mal.

 

[cr500]

firewall réseau ou firewall applicatif ?