Identifiez-vous Devenir membre

Rechercher

Plein de "reading" sans IP

9 réponses

Auteur	Message
Rano Modérateur Inscrit le : 13/04/2005	# Le 06/04/2010 à 19:14 Salut, Dans mon server-status, j'ai plein de lignes comme ça : Srv PID Acc M CPU SS Req Conn Child Slot Client VHost Request 5-0 32660 0/61/61 R 0.33 20 124 0.0 0.06 0.06 ? ? ..reading.. Donc sans "Client" (IP)... et ça a tendance à surcharger apache. Ca peut venir de quoi pour qu'apache ne trouve meme pas l'ip de provenance ? Un pb réseau chez ovh ? (Message édité le 06-04-2010 à 19h19 par Rano) Chambres d'hote tavel Séjours en provence Forum mariage
dob Modérateur Inscrit le : 10/05/2005	# Le 06/04/2010 à 20:12 SlowLoris ? Dans tes logs est-ce que tu as des messages particuliers ? Julien Tartarin Founder & CEO @ Mailjet.com
caaptusss Membre Inscrit le : 25/09/2007	# Le 06/04/2010 à 22:03 Oui, on dirait bien du dDos, ça arrive souvent sur mon réseau. Un petit netstat -a -n permet d'avoir les IP, tu blackliste à la volée, quitte à blacklister des clients "valide", et tu débloque sous 1h, ça devrait corriger le problème (chez nous, ça marche). FirstHeberg.com \| Régie Publicitaire \| Hébergement Gratuit
koreth Membre Inscrit le : 17/09/2009	# Le 07/04/2010 à 15:14 Je penche pour SlowLoris ou équivalent, i.e. une attaque de type "ouvertures de connexions permanentes gardées pendant un temps infini sans utilité, pour saturer ton serveur" ... Mais je connais pas assez apache-status pour dire ... Sébastien BAUDRU, CEO DRASTIC http://www.drastic-securite.com Viadeo LinkedIn Facebook
llaume Membre Inscrit le : 27/01/2010	# Le 07/04/2010 à 16:00 J'ai le même problème que rano Un petit netstat -a -n permet d'avoir les IP, tu blackliste à la volée, quitte à blacklister des clients "valide" et si on peux pas se permettre de blacklister des clients valide, t'as une autre idée ?
llaume Membre Inscrit le : 27/01/2010	# Le 07/04/2010 à 16:06 http://www.secuobs.com/news/18062009-slowloris_htt... Les fichiers de logs ne seront pas ici d'une grande utilité pour détecter les attaques Slowloris, puisqu'ils ne sont impactés que lorsqu'une connexion HTTP est complétée, ce qui ne sera que rarement le cas. Je comprend mieux pourquoi je trouvais rien dans les logs...
Bool Modérateur Inscrit le : 09/05/2005	# Le 07/04/2010 à 16:14 Comme d'hab : un serveur http moderne ou un reverse proxy encaisse bien mieux ce genre de choses. Voir peut-être même le mpm-event d'Apache2. Sinon floodmon que tu utilisais rano est justement sensé servir à ça non ? Google is watching you.
Rano Modérateur Inscrit le : 13/04/2005	# Le 07/04/2010 à 16:35 Salut, Alors ouais, ça sent le SlowLoris. Ca a un peu évolué depuis hier soir, toujours beaucoup de "reading", mais également des "Gracefully finishing" à la pelle Le même principe quoi. J'ai effectivement remis Floodmon qui a permis de limiter la casse mais l'"attaque" venant de dizaine de milliers de pc zombis, c'est toujours délicat pour les trucs tout fait de détecter l'attaque. Car en soit les requêtes sont "tout à fait" (je mets entre guillemet car j'ai réussi à trouver comment les distinguer des autres requêtes) légitimes, d'IP françaises, etc... J'ai bien essayé le module antiloris d'apache, mais c'est une catastrophe c'est certainement très bien quand c'est quelques IPS qui font plein de requetes, mais pleins d'IPS qui font une requete, ça ne marche pas du tout, surcharge de la RAM à mort ! Donc au final, comme pour les précédentes attaques, c'est un filtre à la mano qui m'a permis de m'en sortir... pour l'instant. Jusqu'à ce que ces cons modifient leur système ! Merci pour vos pistes en tout cas et détails sur SlowLoris qui m'ont permis de mieux comprendre le fonctionnement et regarder aux bons endroits ! Chambres d'hote tavel Séjours en provence Forum mariage
dob Modérateur Inscrit le : 10/05/2005	# Le 07/04/2010 à 17:18 Comme le dit Bool, un serveur event ne doit pas être impacté plus que ça. Apache en worker est impacté mais énormément moins que le default (prefork). Dans les solutions alternatives, tu peux caler du HAProxy en frontal... Julien Tartarin Founder & CEO @ Mailjet.com
Liliandev Membre Inscrit le : 06/03/2009	# Le 28/05/2010 à 17:37 Un petit Nginx en reverse proxy et un Apache derrière fera très bien l'affaire ... pour contrer la plupart des attaques, notamment Slowloris. Lilian \| High-Tech - Communauté Webmaster - Communauté Informatique - Comparateur de prix

Auteur

Message

Rano
Modérateur

Inscrit le : 13/04/2005

# Le 06/04/2010 à 19:14

Salut,

Dans mon server-status, j'ai plein de lignes comme ça :



Srv	PID	Acc	M	CPU 	SS	Req	Conn	Child	Slot	Client	VHost	Request

5-0	32660	0/61/61	R 	0.33	20	124	0.0	0.06	0.06 	?	?	..reading..

Donc sans "Client" (IP)... et ça a tendance à surcharger apache. Ca peut venir de quoi pour qu'apache ne trouve meme pas l'ip de provenance ? Un pb réseau chez ovh ?

(Message édité le 06-04-2010 à 19h19 par Rano)

Chambres d'hote tavel
Séjours en provence
Forum mariage

dob
Modérateur

Inscrit le : 10/05/2005

# Le 06/04/2010 à 20:12

SlowLoris ?

Dans tes logs est-ce que tu as des messages particuliers ?

Julien Tartarin
Founder & CEO @ Mailjet.com

caaptusss
Membre

Inscrit le : 25/09/2007

# Le 06/04/2010 à 22:03

Oui, on dirait bien du dDos, ça arrive souvent sur mon réseau. Un petit netstat -a -n permet d'avoir les IP, tu blackliste à la volée, quitte à blacklister des clients "valide", et tu débloque sous 1h, ça devrait corriger le problème (chez nous, ça marche).

FirstHeberg.com | Régie Publicitaire | Hébergement Gratuit

koreth
Membre

Inscrit le : 17/09/2009

# Le 07/04/2010 à 15:14

Je penche pour SlowLoris ou équivalent, i.e. une attaque de type "ouvertures de connexions permanentes gardées pendant un temps infini sans utilité, pour saturer ton serveur" ...

Mais je connais pas assez apache-status pour dire ...

Sébastien BAUDRU, CEO DRASTIC
http://www.drastic-securite.com

Viadeo LinkedIn Facebook

llaume
Membre

Inscrit le : 27/01/2010

# Le 07/04/2010 à 16:00

J'ai le même problème que rano

Un petit netstat -a -n permet d'avoir les IP, tu blackliste à la volée, quitte à blacklister des clients "valide"

et si on peux pas se permettre de blacklister des clients valide, t'as une autre idée ?

llaume
Membre

Inscrit le : 27/01/2010

# Le 07/04/2010 à 16:06

http://www.secuobs.com/news/18062009-slowloris_htt...

Les fichiers de logs ne seront pas ici d'une grande utilité pour détecter les attaques Slowloris, puisqu'ils ne sont impactés que lorsqu'une connexion HTTP est complétée, ce qui ne sera que rarement le cas.

Je comprend mieux pourquoi je trouvais rien dans les logs...

Bool
Modérateur

Inscrit le : 09/05/2005

# Le 07/04/2010 à 16:14

Comme d'hab : un serveur http moderne ou un reverse proxy encaisse bien mieux ce genre de choses. Voir peut-être même le mpm-event d'Apache2.
Sinon floodmon que tu utilisais rano est justement sensé servir à ça non ?

Google is watching you.

Rano
Modérateur

Inscrit le : 13/04/2005

# Le 07/04/2010 à 16:35

Salut,

Alors ouais, ça sent le SlowLoris. Ca a un peu évolué depuis hier soir, toujours beaucoup de "reading", mais également des "Gracefully finishing" à la pelle Le même principe quoi. J'ai effectivement remis Floodmon qui a permis de limiter la casse mais l'"attaque" venant de dizaine de milliers de pc zombis, c'est toujours délicat pour les trucs tout fait de détecter l'attaque. Car en soit les requêtes sont "tout à fait" (je mets entre guillemet car j'ai réussi à trouver comment les distinguer des autres requêtes) légitimes, d'IP françaises, etc...

J'ai bien essayé le module antiloris d'apache, mais c'est une catastrophe c'est certainement très bien quand c'est quelques IPS qui font plein de requetes, mais pleins d'IPS qui font une requete, ça ne marche pas du tout, surcharge de la RAM à mort !

Donc au final, comme pour les précédentes attaques, c'est un filtre à la mano qui m'a permis de m'en sortir... pour l'instant. Jusqu'à ce que ces cons modifient leur système !

Merci pour vos pistes en tout cas et détails sur SlowLoris qui m'ont permis de mieux comprendre le fonctionnement et regarder aux bons endroits !

Chambres d'hote tavel
Séjours en provence
Forum mariage

dob
Modérateur

Inscrit le : 10/05/2005

# Le 07/04/2010 à 17:18

Comme le dit Bool, un serveur event ne doit pas être impacté plus que ça. Apache en worker est impacté mais énormément moins que le default (prefork).

Dans les solutions alternatives, tu peux caler du HAProxy en frontal...

Julien Tartarin
Founder & CEO @ Mailjet.com

Liliandev
Membre

Inscrit le : 06/03/2009

# Le 28/05/2010 à 17:37

Un petit Nginx en reverse proxy et un Apache derrière fera très bien l'affaire ... pour contrer la plupart des attaques, notamment Slowloris.

Lilian | High-Tech - Communauté Webmaster - Communauté Informatique - Comparateur de prix

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.