Plein de "reading" sans IP

7 réponses

Auteur	Message
Rano \| Modérateur Inscrit le : 13/04/2005	# Le 06/04/2010 à 19:14 Salut, Dans mon server-status, j'ai plein de lignes comme ça : Srv PID Acc M CPU SS Req Conn Child Slot Client VHost Request 5-0 32660 0/61/61 R 0.33 20 124 0.0 0.06 0.06 ? ? ..reading.. Donc sans "Client" (IP)... et ça a tendance à surcharger apache. Ca peut venir de quoi pour qu'apache ne trouve meme pas l'ip de provenance ? Un pb réseau chez ovh ? (Message édité le 06-04-2010 à 19h19 par Rano) Chambres d'hote tavel Séjours en provence Forum mariage
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 06/04/2010 à 22:03 Oui, on dirait bien du dDos, ça arrive souvent sur mon réseau. Un petit netstat -a -n permet d'avoir les IP, tu blackliste à la volée, quitte à blacklister des clients "valide", et tu débloque sous 1h, ça devrait corriger le problème (chez nous, ça marche). FirstHeberg.com
koreth \| Sébastien Membre Inscrit le : 17/09/2009	# Le 07/04/2010 à 15:14 Je penche pour SlowLoris ou équivalent, i.e. une attaque de type "ouvertures de connexions permanentes gardées pendant un temps infini sans utilité, pour saturer ton serveur" ... Mais je connais pas assez apache-status pour dire ... Sébastien BAUDRU, CEO DRASTIC http://www.drastic-securite.com Viadeo LinkedIn Facebook
llaume \| Guillaume Membre Inscrit le : 27/01/2010	# Le 07/04/2010 à 16:00 J'ai le même problème que rano Un petit netstat -a -n permet d'avoir les IP, tu blackliste à la volée, quitte à blacklister des clients "valide" et si on peux pas se permettre de blacklister des clients valide, t'as une autre idée ?
llaume \| Guillaume Membre Inscrit le : 27/01/2010	# Le 07/04/2010 à 16:06 http://www.secuobs.com/news/18062009-slowloris_htt... Les fichiers de logs ne seront pas ici d'une grande utilité pour détecter les attaques Slowloris, puisqu'ils ne sont impactés que lorsqu'une connexion HTTP est complétée, ce qui ne sera que rarement le cas. Je comprend mieux pourquoi je trouvais rien dans les logs...
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 07/04/2010 à 16:14 Comme d'hab : un serveur http moderne ou un reverse proxy encaisse bien mieux ce genre de choses. Voir peut-être même le mpm-event d'Apache2. Sinon floodmon que tu utilisais rano est justement sensé servir à ça non ? daevel : infogérance et conseil \|\| moi
Rano \| Jean Modérateur Inscrit le : 13/04/2005	# Le 07/04/2010 à 16:35 Salut, Alors ouais, ça sent le SlowLoris. Ca a un peu évolué depuis hier soir, toujours beaucoup de "reading", mais également des "Gracefully finishing" à la pelle Le même principe quoi. J'ai effectivement remis Floodmon qui a permis de limiter la casse mais l'"attaque" venant de dizaine de milliers de pc zombis, c'est toujours délicat pour les trucs tout fait de détecter l'attaque. Car en soit les requêtes sont "tout à fait" (je mets entre guillemet car j'ai réussi à trouver comment les distinguer des autres requêtes) légitimes, d'IP françaises, etc... J'ai bien essayé le module antiloris d'apache, mais c'est une catastrophe c'est certainement très bien quand c'est quelques IPS qui font plein de requetes, mais pleins d'IPS qui font une requete, ça ne marche pas du tout, surcharge de la RAM à mort ! Donc au final, comme pour les précédentes attaques, c'est un filtre à la mano qui m'a permis de m'en sortir... pour l'instant. Jusqu'à ce que ces cons modifient leur système ! Merci pour vos pistes en tout cas et détails sur SlowLoris qui m'ont permis de mieux comprendre le fonctionnement et regarder aux bons endroits ! Chambres d'hote tavel Séjours en provence Forum mariage
Liliandev \| Lilian Membre Inscrit le : 06/03/2009	# Le 28/05/2010 à 17:37 Un petit Nginx en reverse proxy et un Apache derrière fera très bien l'affaire ... pour contrer la plupart des attaques, notamment Slowloris. Lilian \| High-Tech - Communauté Webmaster - Communauté Informatique - Comparateur de prix

Auteur

Message

Rano |
Modérateur

Inscrit le : 13/04/2005

# Le 06/04/2010 à 19:14

Salut,

Dans mon server-status, j'ai plein de lignes comme ça :



Srv	PID	Acc	M	CPU 	SS	Req	Conn	Child	Slot	Client	VHost	Request

5-0	32660	0/61/61	R 	0.33	20	124	0.0	0.06	0.06 	?	?	..reading..

Donc sans "Client" (IP)... et ça a tendance à surcharger apache. Ca peut venir de quoi pour qu'apache ne trouve meme pas l'ip de provenance ? Un pb réseau chez ovh ?

(Message édité le 06-04-2010 à 19h19 par Rano)

Chambres d'hote tavel
Séjours en provence
Forum mariage

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 06/04/2010 à 22:03

Oui, on dirait bien du dDos, ça arrive souvent sur mon réseau. Un petit netstat -a -n permet d'avoir les IP, tu blackliste à la volée, quitte à blacklister des clients "valide", et tu débloque sous 1h, ça devrait corriger le problème (chez nous, ça marche).

FirstHeberg.com

koreth | Sébastien
Membre

Inscrit le : 17/09/2009

# Le 07/04/2010 à 15:14

Je penche pour SlowLoris ou équivalent, i.e. une attaque de type "ouvertures de connexions permanentes gardées pendant un temps infini sans utilité, pour saturer ton serveur" ...

Mais je connais pas assez apache-status pour dire ...

Sébastien BAUDRU, CEO DRASTIC
http://www.drastic-securite.com

Viadeo LinkedIn Facebook

llaume | Guillaume
Membre

Inscrit le : 27/01/2010

# Le 07/04/2010 à 16:00

J'ai le même problème que rano

Un petit netstat -a -n permet d'avoir les IP, tu blackliste à la volée, quitte à blacklister des clients "valide"

et si on peux pas se permettre de blacklister des clients valide, t'as une autre idée ?

llaume | Guillaume
Membre

Inscrit le : 27/01/2010

# Le 07/04/2010 à 16:06

http://www.secuobs.com/news/18062009-slowloris_htt...

Les fichiers de logs ne seront pas ici d'une grande utilité pour détecter les attaques Slowloris, puisqu'ils ne sont impactés que lorsqu'une connexion HTTP est complétée, ce qui ne sera que rarement le cas.

Je comprend mieux pourquoi je trouvais rien dans les logs...

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 07/04/2010 à 16:14

Comme d'hab : un serveur http moderne ou un reverse proxy encaisse bien mieux ce genre de choses. Voir peut-être même le mpm-event d'Apache2.
Sinon floodmon que tu utilisais rano est justement sensé servir à ça non ?

daevel : infogérance et conseil || moi

Rano | Jean
Modérateur

Inscrit le : 13/04/2005

# Le 07/04/2010 à 16:35

Salut,

Alors ouais, ça sent le SlowLoris. Ca a un peu évolué depuis hier soir, toujours beaucoup de "reading", mais également des "Gracefully finishing" à la pelle Le même principe quoi. J'ai effectivement remis Floodmon qui a permis de limiter la casse mais l'"attaque" venant de dizaine de milliers de pc zombis, c'est toujours délicat pour les trucs tout fait de détecter l'attaque. Car en soit les requêtes sont "tout à fait" (je mets entre guillemet car j'ai réussi à trouver comment les distinguer des autres requêtes) légitimes, d'IP françaises, etc...

J'ai bien essayé le module antiloris d'apache, mais c'est une catastrophe c'est certainement très bien quand c'est quelques IPS qui font plein de requetes, mais pleins d'IPS qui font une requete, ça ne marche pas du tout, surcharge de la RAM à mort !

Donc au final, comme pour les précédentes attaques, c'est un filtre à la mano qui m'a permis de m'en sortir... pour l'instant. Jusqu'à ce que ces cons modifient leur système !

Merci pour vos pistes en tout cas et détails sur SlowLoris qui m'ont permis de mieux comprendre le fonctionnement et regarder aux bons endroits !

Chambres d'hote tavel
Séjours en provence
Forum mariage

Liliandev | Lilian
Membre

Inscrit le : 06/03/2009

# Le 28/05/2010 à 17:37

Un petit Nginx en reverse proxy et un Apache derrière fera très bien l'affaire ... pour contrer la plupart des attaques, notamment Slowloris.

Lilian | High-Tech - Communauté Webmaster - Communauté Informatique - Comparateur de prix

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.