Attaque ddos sur serveur apache
Attaque ddos sur serveur apache - Sécurité - Windows & Software
Marsh Posté le 22-07-2005 à 09:45:10
Oui pas de doute c'est du DOS avec IP spoofing à la clef.
Il existe des modules pour apache (google) qui permettent de détecter ces attaques.
Marsh Posté le 22-07-2005 à 09:50:45
Merci de ta réponse, j'ai effectivement trouvé ce genre de solution:
http://www.crucialparadigm.com/res [...] ttacks.php
Mais je pense qu'un blocage au niveau de apache ne résoudra pas le pb de traffic entrant (qui est énorme aussi), c'est pourquoi je me suis orienté vers du filtrage de paquets ...
Enfin je vais voir si je peux combiner les 2 ..
Marsh Posté le 22-07-2005 à 09:54:31
Sous linux il me semble qu'il y a un détecteur de spoofing qui permet de dropper de tels paquets.
Faudrait voir si tu as la possibilité de changer de plateforme.
Sinon si ta plateforme est Windows, il faudrait un installer un IDS et bloquer le nombre maximal de requêtes par seconde.
Message édité par jlighty le 22-07-2005 à 09:56:41
Sujets relatifs:
- mon PC est-il attaqué?
- serveur IIS
- Serveur radius
- attaquer le ldap de mon serveur w2k
- apache, firewall et proxy
- problème configuration apache
- Transférer des pilotes d'imprimantes d'un serveur à un autre.
- emule en reseau ad-hoc ( pc1=serveur ,pc2=esclave )
- antivirus pour serveur
- Créer une image disque avec un serveur Windows 2003
Marsh Posté le 22-07-2005 à 09:31:20
Salut à tous,
j'ai un gros problème depuis hier matin sur mon serveur web. Pour situer le contexte, c'est une machine dédiée située chez un hébergeur professionnel (donc IP fixe évidemment), avec une puissance et une bande passante très confortables.
Depuis, hier donc, j'ai constaté une explosion du traffic entrant et sortant sur le réseau, en fait, je suis constamment à la limite autorisée par mon fournisseur.
En fouillant un peu, j'ai trouvé que le serveur web est sollicité des milliers de fois par des adresses IP inconnues, qui font des requêtes sur des pages qui n'ont rien à voir avec le mien.
Exemple fictif:
Dans la log apache, les requêtes "normales" sont de la forme:
151.54.35.57 GET /index.php?page=24
Et les lignes douteuses sont de la forme:
82.12.32.23 GET http://www.totalcasino.com/?banner=21
Bien sur, j'ai déja eu quelques codered et équivalent qui font mumuse, mais ça n'était pas bien méchant en volume. Alors que là, j'ai plus de 12000 IP différentes en moins de 24h, et la bande passante au taquet.
Ce matin, mon serveur web est inaccessible, je suppose qu'il a croulé sous la charge.
Est-ce cela qu'on appelle une attaque DDOS ?
Avant que le serveur tombe, j'avais fait un script qui automatise l'ajout de règles de firewall pour dropper tout ce qui provient d'IP douteuse trouvée dans la log. Le pb, c'est qu'il y a sans arret des nouvelles IP, donc ça peut durer longtemps. De plus, bannir les IP une par une n'est pas optimale, mais les attaques ne proviennent pas de plage d'adresses contigues
Que faire contre ce phénomène ?
Existe-t-il une "blacklist" officielle de toutes les IP à bannir ?
Message édité par [Albator] le 22-07-2005 à 09:33:27