At 13:10 22/06/09, jul wrote:
En réaction à la publication par rsnake d'un outil pour faire du DoS sur
Apache en quelques paquets [1], je souhaitais savoir si des
vérifications/mesures particulières ont été prises par les
opérateurs/hébergeurs ?
A priori, il semble que les contre-mesures soient limitées
* Éventuellement, absorption par les load-balancers ou reverse proxy
* Diminuer le Timeout Apache
* Module pour limiter le nombre de connexion par IP
Commentaires ?
On a testé slowloris et effectivement ca marche bien, on peut écrouler un
Apache en quelques secondes.
En plus c'est super simple à utiliser donc y'en a plein qui vont pouvoir
s'amuser avec, ca va etre fun :)
Maintenant meme si ca facilite le travail, des flood sur Apache ca existait
avant donc c'est pas nouveau, et tous les hébergeurs en recoivent
régulièrement donc ils savent comment y faire face.
Quand le flood concerne des requetes Apache valides (sur des pages PHP pour
écrouler le CPU par exemple), un simple filtrage dans la conf Apache
suffit. Mais la ca ne marche pas, c'est au niveau du réseau qu'il faut
filtrer l'IP pour bloquer le flood. Soit sur le serveur, soit sur le switch
en amont soit directement sur les routeurs. Et quand ca arrive souvent il
faut des scripts pour filtrer automatiquement au dela d'un certain nombre
de requetes/IP.
Donc si ca vient de la meme IP ce sera facile à bloquer car c'est pas tres
discret comme attaque, mais si le gars utilise plus d'une dizaine d'IP
différentes pour bloquer moins de 20 process simultanés ca sera plus
difficilement automatisable donc ca demandera un peu plus de travail si on
veut pas blacklister des IP d'utilisateurs qui ont juste tendance à cliquer
un peu vite :)
Jean-Francois COUSI
=======================================================
www.serveur-express.com Le specialiste du serveur dedie
Location, hebergement et infogerance de serveurs dedies
Tel:01.58.64.26.80 Fax:01.58.64.26.81
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
