Suite à des attaques récursives de mon site web sous apache protégé en
amont par un firewall sous Linux sur un PC dédié (iptables) par des
requêtes GET de 1 Mo, je sollicite votre aide pour me donner une piste
de départ afin de dropper ces paquets malveillants. Je n'ai
effectivement basé mes règles de filtrage que sur les adresses et n° de
ports dans un premier temps, ce qui s'avère insuffisant ...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Basile Starynkevitch [news]
On 2005-02-17, thierry wrote:
Suite à des attaques récursives de mon site web sous apache protégé en amont par un firewall sous Linux sur un PC dédié (iptables) par des requêtes GET de 1 Mo, je sollicite votre aide pour me donner une piste de départ afin de dropper ces paquets malveillants.
C'est la requête HTTP entrante qui est un GET très long (par exemple avec une URL de un million de caractères) ou c'est la réponse du GET qui est longue?
J'imagine que le serveur HTTP peut être paramétré pour rejeter les URLs trop longues... Mais bien sûr, ça ne diminue pas la charge du réseau.
-- Basile STARYNKEVITCH http://starynkevitch.net/Basile/ email: basile<at>starynkevitch<dot>net aliases: basile<at>tunes<dot>org = bstarynk<at>nerim<dot>net 8, rue de la Faïencerie, 92340 Bourg La Reine, France
On 2005-02-17, thierry <thierry@home.net> wrote:
Suite à des attaques récursives de mon site web sous apache protégé en
amont par un firewall sous Linux sur un PC dédié (iptables) par des
requêtes GET de 1 Mo, je sollicite votre aide pour me donner une piste
de départ afin de dropper ces paquets malveillants.
C'est la requête HTTP entrante qui est un GET très long (par exemple
avec une URL de un million de caractères) ou c'est la réponse du GET
qui est longue?
J'imagine que le serveur HTTP peut être paramétré pour rejeter les
URLs trop longues... Mais bien sûr, ça ne diminue pas la charge du
réseau.
--
Basile STARYNKEVITCH http://starynkevitch.net/Basile/
email: basile<at>starynkevitch<dot>net
aliases: basile<at>tunes<dot>org = bstarynk<at>nerim<dot>net
8, rue de la Faïencerie, 92340 Bourg La Reine, France
Suite à des attaques récursives de mon site web sous apache protégé en amont par un firewall sous Linux sur un PC dédié (iptables) par des requêtes GET de 1 Mo, je sollicite votre aide pour me donner une piste de départ afin de dropper ces paquets malveillants.
C'est la requête HTTP entrante qui est un GET très long (par exemple avec une URL de un million de caractères) ou c'est la réponse du GET qui est longue?
J'imagine que le serveur HTTP peut être paramétré pour rejeter les URLs trop longues... Mais bien sûr, ça ne diminue pas la charge du réseau.
-- Basile STARYNKEVITCH http://starynkevitch.net/Basile/ email: basile<at>starynkevitch<dot>net aliases: basile<at>tunes<dot>org = bstarynk<at>nerim<dot>net 8, rue de la Faïencerie, 92340 Bourg La Reine, France
Rakotomandimby (R12y) Mihamina
( Thu, 17 Feb 2005 23:58:03 +0100 ) thierry :
Je n'ai effectivement basé mes règles de filtrage que sur les adresses et n° de ports dans un premier temps, ce qui s'avère insuffisant ...
Les paquets qui voyagent sur internet sont toujours _encapsulés_ et sont des fragments d'informations.
C'est à dire que quand on regarde un paquet qui transite sur internet on ne voit uniquement que l'adresse de provenance, l'adresse de destination et le port de destination (attention je résume et je simplifie là, aller sur fr.comp.reseaux.ip pour les détails).
Ta requête de 1Mo, il y a de forte chances qu'elle se soit fait fragmenter en plusieurs "paquets réseaux".
iptables, par défaut, ne regarde que cette enveloppe extérieure (IP exp, IP dest, PORT). Pour savoir que tel paquet est un fragment de ton gros truc de 1Mo ou pas, il faut décapsuler le paquet (le déshabiller). C'est au processus qui écoute sur le port de destination de faire ça. En l'occurence ton serveur Web.
Il existe bien des extensions à iptables pour aller voir sous les vêtements des paquets, mais je ne sais pas si ils sont officiellement supportés par Netfilter et j'ignore leur degré de stabilité.
-- L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance) Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
( Thu, 17 Feb 2005 23:58:03 +0100 ) thierry :
Je n'ai
effectivement basé mes règles de filtrage que sur les adresses et n° de
ports dans un premier temps, ce qui s'avère insuffisant ...
Les paquets qui voyagent sur internet sont toujours _encapsulés_ et sont
des fragments d'informations.
C'est à dire que quand on regarde un paquet qui transite sur internet on
ne voit uniquement que l'adresse de provenance, l'adresse de
destination et le port de destination (attention je résume et je
simplifie là, aller sur fr.comp.reseaux.ip pour les détails).
Ta requête de 1Mo, il y a de forte chances qu'elle se soit fait
fragmenter en plusieurs "paquets réseaux".
iptables, par défaut, ne regarde que cette enveloppe extérieure (IP exp,
IP dest, PORT). Pour savoir que tel paquet est un fragment de ton gros
truc de 1Mo ou pas, il faut décapsuler le paquet (le déshabiller). C'est
au processus qui écoute sur le port de destination de faire ça. En
l'occurence ton serveur Web.
Il existe bien des extensions à iptables pour aller voir sous les
vêtements des paquets, mais je ne sais pas si ils sont officiellement
supportés par Netfilter et j'ignore leur degré de stabilité.
--
L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses
activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance)
Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
Je n'ai effectivement basé mes règles de filtrage que sur les adresses et n° de ports dans un premier temps, ce qui s'avère insuffisant ...
Les paquets qui voyagent sur internet sont toujours _encapsulés_ et sont des fragments d'informations.
C'est à dire que quand on regarde un paquet qui transite sur internet on ne voit uniquement que l'adresse de provenance, l'adresse de destination et le port de destination (attention je résume et je simplifie là, aller sur fr.comp.reseaux.ip pour les détails).
Ta requête de 1Mo, il y a de forte chances qu'elle se soit fait fragmenter en plusieurs "paquets réseaux".
iptables, par défaut, ne regarde que cette enveloppe extérieure (IP exp, IP dest, PORT). Pour savoir que tel paquet est un fragment de ton gros truc de 1Mo ou pas, il faut décapsuler le paquet (le déshabiller). C'est au processus qui écoute sur le port de destination de faire ça. En l'occurence ton serveur Web.
Il existe bien des extensions à iptables pour aller voir sous les vêtements des paquets, mais je ne sais pas si ils sont officiellement supportés par Netfilter et j'ignore leur degré de stabilité.
-- L'ASPO a pour but de démocratiser l'acces a l'informatique. Une de ses activité est l'infogerance (http://aspo.rktmb.org/activites/infogerance) Tél: + 33 2 38 04 26 04 ou + 33 6 33 26 13 14 (France)
SprintEx
Le Thu, 17 Feb 2005 23:58:03 +0100, thierry a écrit :
Suite à des attaques récursives de mon site web sous apache protégé en amont par un firewall sous Linux sur un PC dédié (iptables) par des requêtes GET de 1 Mo, je sollicite votre aide pour me donner une piste de départ afin de dropper ces paquets malveillants. Je n'ai effectivement basé mes règles de filtrage que sur les adresses et n° de ports dans un premier temps, ce qui s'avère insuffisant ...
Vérifies que tu maitrise bien le mod_proxy d'Apache, il y a peu le mien était installé et ouvert et me consommait ma bande passante.
Maintenant il y a "deny all" et je suis tranquille.
-- Marc, SprintEx & RS Ploucs #1
Le Thu, 17 Feb 2005 23:58:03 +0100, thierry a écrit :
Suite à des attaques récursives de mon site web sous apache protégé en
amont par un firewall sous Linux sur un PC dédié (iptables) par des
requêtes GET de 1 Mo, je sollicite votre aide pour me donner une piste
de départ afin de dropper ces paquets malveillants. Je n'ai
effectivement basé mes règles de filtrage que sur les adresses et n° de
ports dans un premier temps, ce qui s'avère insuffisant ...
Vérifies que tu maitrise bien le mod_proxy d'Apache, il y a peu le mien
était installé et ouvert et me consommait ma bande passante.
Maintenant il y a "deny all" et je suis tranquille.
Le Thu, 17 Feb 2005 23:58:03 +0100, thierry a écrit :
Suite à des attaques récursives de mon site web sous apache protégé en amont par un firewall sous Linux sur un PC dédié (iptables) par des requêtes GET de 1 Mo, je sollicite votre aide pour me donner une piste de départ afin de dropper ces paquets malveillants. Je n'ai effectivement basé mes règles de filtrage que sur les adresses et n° de ports dans un premier temps, ce qui s'avère insuffisant ...
Vérifies que tu maitrise bien le mod_proxy d'Apache, il y a peu le mien était installé et ouvert et me consommait ma bande passante.
Maintenant il y a "deny all" et je suis tranquille.
-- Marc, SprintEx & RS Ploucs #1
thierry
SprintEx a écrit:
Suite à des attaques récursives de mon site web sous apache protégé en amont par un firewall sous Linux sur un PC dédié (iptables) par des requêtes GET de 1 Mo, je sollicite votre aide pour me donner une piste de départ afin de dropper ces paquets malveillants. Je n'ai effectivement basé mes règles de filtrage que sur les adresses et n° de ports dans un premier temps, ce qui s'avère insuffisant ...
Vérifies que tu maitrise bien le mod_proxy d'Apache, il y a peu le mien était installé et ouvert et me consommait ma bande passante.
Maintenant il y a "deny all" et je suis tranquille.
Là effectivement merci beaucoup, je vais me documenter sur ce module
SprintEx a écrit:
Suite à des attaques récursives de mon site web sous apache protégé en
amont par un firewall sous Linux sur un PC dédié (iptables) par des
requêtes GET de 1 Mo, je sollicite votre aide pour me donner une piste
de départ afin de dropper ces paquets malveillants. Je n'ai
effectivement basé mes règles de filtrage que sur les adresses et n° de
ports dans un premier temps, ce qui s'avère insuffisant ...
Vérifies que tu maitrise bien le mod_proxy d'Apache, il y a peu le mien
était installé et ouvert et me consommait ma bande passante.
Maintenant il y a "deny all" et je suis tranquille.
Là effectivement merci beaucoup, je vais me documenter sur ce module
Suite à des attaques récursives de mon site web sous apache protégé en amont par un firewall sous Linux sur un PC dédié (iptables) par des requêtes GET de 1 Mo, je sollicite votre aide pour me donner une piste de départ afin de dropper ces paquets malveillants. Je n'ai effectivement basé mes règles de filtrage que sur les adresses et n° de ports dans un premier temps, ce qui s'avère insuffisant ...
Vérifies que tu maitrise bien le mod_proxy d'Apache, il y a peu le mien était installé et ouvert et me consommait ma bande passante.
Maintenant il y a "deny all" et je suis tranquille.
Là effectivement merci beaucoup, je vais me documenter sur ce module
Michel Tatoute
Le Thu, 17 Feb 2005 23:58:03 +0100, thierry a écrit :
Suite à des attaques récursives de mon site web sous apache protégé en amont par un firewall sous Linux sur un PC dédié (iptables) par des requêtes GET de 1 Mo, je sollicite votre aide pour me donner une piste de départ afin de dropper ces paquets malveillants. Je n'ai effectivement basé mes règles de filtrage que sur les adresses et n° de ports dans un premier temps, ce qui s'avère insuffisant ...
essaie sous comp.os.linux.security en anglais?
Michel.
Le Thu, 17 Feb 2005 23:58:03 +0100, thierry a écrit :
Suite à des attaques récursives de mon site web sous apache protégé en
amont par un firewall sous Linux sur un PC dédié (iptables) par des
requêtes GET de 1 Mo, je sollicite votre aide pour me donner une piste
de départ afin de dropper ces paquets malveillants. Je n'ai
effectivement basé mes règles de filtrage que sur les adresses et n° de
ports dans un premier temps, ce qui s'avère insuffisant ...
Le Thu, 17 Feb 2005 23:58:03 +0100, thierry a écrit :
Suite à des attaques récursives de mon site web sous apache protégé en amont par un firewall sous Linux sur un PC dédié (iptables) par des requêtes GET de 1 Mo, je sollicite votre aide pour me donner une piste de départ afin de dropper ces paquets malveillants. Je n'ai effectivement basé mes règles de filtrage que sur les adresses et n° de ports dans un premier temps, ce qui s'avère insuffisant ...
essaie sous comp.os.linux.security en anglais?
Michel.
Nicolas George
R12y wrote in message :
Ta requête de 1Mo, il y a de forte chances qu'elle se soit fait fragmenter en plusieurs "paquets réseaux".
C'est même certain, puisque la taille maximale d'un paquet IP est de 65535 octets (auxquels il faut encore enlever les entêtes IP et TCP pour n'avoir que la requête).
R12y wrote in message <pan.2005.02.18.08.53.59.644412@mail.rktmb.org>:
Ta requête de 1Mo, il y a de forte chances qu'elle se soit fait
fragmenter en plusieurs "paquets réseaux".
C'est même certain, puisque la taille maximale d'un paquet IP est de
65535 octets (auxquels il faut encore enlever les entêtes IP et TCP pour
n'avoir que la requête).
Ta requête de 1Mo, il y a de forte chances qu'elle se soit fait fragmenter en plusieurs "paquets réseaux".
C'est même certain, puisque la taille maximale d'un paquet IP est de 65535 octets (auxquels il faut encore enlever les entêtes IP et TCP pour n'avoir que la requête).
Jérémy JUST
On Fri, 18 Feb 2005 12:43:18 +0000 (UTC) Nicolas George <nicolas$ wrote:
Ta requête de 1Mo, il y a de forte chances qu'elle se soit fait fragmenter en plusieurs "paquets réseaux". C'est même certain, puisque la taille maximale d'un paquet IP est de
65535 octets (auxquels il faut encore enlever les entêtes IP et TCP pour n'avoir que la requête).
Si le site ne se prête pas à ce que des gens ouvrent plusieurs navigateurs dessus et fassent des requêtes en rafale, il est peut-être intéressant de refuser le troisième (et plus) paquet venant de la même IP dans un intervalle d'une seconde?
-- Jérémy JUST
On Fri, 18 Feb 2005 12:43:18 +0000 (UTC)
Nicolas George <nicolas$george@salle-s.org> wrote:
Ta requête de 1Mo, il y a de forte chances qu'elle se soit fait
fragmenter en plusieurs "paquets réseaux".
C'est même certain, puisque la taille maximale d'un paquet IP est de
65535 octets (auxquels il faut encore enlever les entêtes IP et TCP
pour n'avoir que la requête).
Si le site ne se prête pas à ce que des gens ouvrent plusieurs
navigateurs dessus et fassent des requêtes en rafale, il est peut-être
intéressant de refuser le troisième (et plus) paquet venant de la même
IP dans un intervalle d'une seconde?
On Fri, 18 Feb 2005 12:43:18 +0000 (UTC) Nicolas George <nicolas$ wrote:
Ta requête de 1Mo, il y a de forte chances qu'elle se soit fait fragmenter en plusieurs "paquets réseaux". C'est même certain, puisque la taille maximale d'un paquet IP est de
65535 octets (auxquels il faut encore enlever les entêtes IP et TCP pour n'avoir que la requête).
Si le site ne se prête pas à ce que des gens ouvrent plusieurs navigateurs dessus et fassent des requêtes en rafale, il est peut-être intéressant de refuser le troisième (et plus) paquet venant de la même IP dans un intervalle d'une seconde?
-- Jérémy JUST
Matthieu Moy
Jérémy JUST writes:
Si le site ne se prête pas à ce que des gens ouvrent plusieurs navigateurs dessus et fassent des requêtes en rafale, il est peut-être intéressant de refuser le troisième (et plus) paquet venant de la même IP dans un intervalle d'une seconde?
Attention : Si tu ouvres une page qui contient 3 images pas trop grosses, il va y avoir trois requetes. (par contre, elles seront faites dans la même connexion TCP il me semble)
-- Matthieu
Jérémy JUST <jeremy_just@netcourrier.com> writes:
Si le site ne se prête pas à ce que des gens ouvrent plusieurs
navigateurs dessus et fassent des requêtes en rafale, il est peut-être
intéressant de refuser le troisième (et plus) paquet venant de la même
IP dans un intervalle d'une seconde?
Attention : Si tu ouvres une page qui contient 3 images pas trop
grosses, il va y avoir trois requetes. (par contre, elles seront
faites dans la même connexion TCP il me semble)
Si le site ne se prête pas à ce que des gens ouvrent plusieurs navigateurs dessus et fassent des requêtes en rafale, il est peut-être intéressant de refuser le troisième (et plus) paquet venant de la même IP dans un intervalle d'une seconde?
Attention : Si tu ouvres une page qui contient 3 images pas trop grosses, il va y avoir trois requetes. (par contre, elles seront faites dans la même connexion TCP il me semble)
-- Matthieu
Jérémy JUST
On Sat, 19 Feb 2005 17:27:28 +0100 Matthieu Moy wrote:
Si le site ne se prête pas à ce que des gens ouvrent plusieurs navigateurs dessus et fassent des requêtes en rafale Attention : Si tu ouvres une page qui contient 3 images
Effectivement, je n'avais pas pensé aux images! Ma solution ne vaut donc rien (sauf cas très particulier).
-- Jérémy JUST
On Sat, 19 Feb 2005 17:27:28 +0100
Matthieu Moy <MatthieuNOSPAM.Moy@imag.fr.invalid> wrote:
Si le site ne se prête pas à ce que des gens ouvrent plusieurs
navigateurs dessus et fassent des requêtes en rafale
Attention : Si tu ouvres une page qui contient 3 images
Effectivement, je n'avais pas pensé aux images!
Ma solution ne vaut donc rien (sauf cas très particulier).
On Sat, 19 Feb 2005 17:27:28 +0100 Matthieu Moy wrote:
Si le site ne se prête pas à ce que des gens ouvrent plusieurs navigateurs dessus et fassent des requêtes en rafale Attention : Si tu ouvres une page qui contient 3 images
Effectivement, je n'avais pas pensé aux images! Ma solution ne vaut donc rien (sauf cas très particulier).
