Aujourd'hui une attaque DoS - le
Firewall ASA offert par OVH sature à 10 000 connexions.
Plutôt habitué à ces attaques, loin d'être la première et surement loin d'être la dernière - quelques exemples sur la page :
Attaques DoS et Anti-DoS OVH.
Un petit tour dans les logs et on voit une attaque de type Slowloris :
Plusieurs remarques :
-
Déjà on remarque qu'il y a une "tournante" au niveau des IPs et une
seule IP ne bourrine pas tant que cela. Ce qui est plutôt une bonne
chose pour l'attaquant, car mes détections ne détectent aucune anomalie
et ne se déclenchent pas.
- Les mauvais côté : on voit aucun
referrer/useragent ou PHP comme useragent qui provient de sites WEB
hackés. Bref des patterns qui permettent de détecter les attaquants.
Je vous rappelle la structure de mes sites :
Varnish en front qui agit en proxy cache et Apache derrière.
Apache est vulnérable à ces attaques HTTP qui n'est pas capable de gérer toutes connexions.
Ici
le but du jeu est de faire gérer les connexions par varnish afin de ne
les pas envoyer à Apache qui sera alors alléger et pourra traiter les
connexions légitimes.
Une ou deux règles sur Varnish afin que les connexions de l'attaque ne soient plus envoyés à Apache, on renvoit un 403.
On voit un gros pic sur les connexions gérées par Varnish :
Ensuite,
on blackliste les IPs en question, on voit un pic sur iptables qui
redescend vite car j'envoie aussi toutes les IPs sur le
Firewall ASA
en front du serveur dédié qui va tout bloquer. Du coup, celles-ci
n'atteignent plus le serveur dédié et le nombre de drop iptables baisse.
et hop ça drop sur le Firewall ASA.
On monte à 700 drop/s, ce qui n'est pas énorme (j'ai eu bien pire).
Quelques tweets pour se foutre de la gueule de l'attaquant :
https://twitter.com/malekal_morte/statu ... 9494216704dont celui-ci :
Quelques minutes après, l'attaque double. Dans la capture ci-dessous, on voit le nombre de connexions monter et baisser.
La baisse est due aux remontés des IPs à bloquer, mon système drop les connexions établies pour alléger le
Firewall ASA.
Mon système de détection détecte bien le doublement de l'attaque et ban les IPs sur le Firewall ASA.
La recrudescence de l'attaque a lieu à 11h08.
On voit que l'attaque a duré une heure.
Comme cela n'a aucun effet, l'attaquant arrête... on voit le drop/s baisser.
2077 IPs bloquées dans cette attaque.
Ce que j'ai remarqué, c'était aussi le cas pour
le WordPress pingback DoS,
c'est que les attaques ont lieu juste après que je publie des
nouveautés [url=malvertising.stopmalwares.com]sur le site des
malvertising[/url] pour reporter des blocages de malvertising.
Il semblerait, comme d'habitude, qu'un groupe ne soit pas très content.
Je
suis assez content du système que j'ai mis en place pour détecter ce
type d'attaque, même si dans ce cas il a fallu effectuer des
manipulations manuelles, mais ça aide beaucoup.
Source.:
