Hello la liste,
Avez-vous une solution contre les attaques slowloris ciblées sur une adresse IP ? En effet j'ai entendu parlé de Cloudflare mais celui-ci protège des attaques Slowloris ciblées sur un nom de domaine.
Hello,
Tu peux regarder du côté de mod_antiloris si ton serveur est un apache. L'utilisation d'un serveur événementiel du genre nginx ou haproxy peut aussi considérablement augmenter ta résistance à l'attaque pour évider d'avoir 100% de tes worker en Reading qui foutent rien.
Il y a aussi le module "recent" d'iptables à un niveau plus bas.
Mais ce ne sont des solutions que contre certains types de slowloris. Sans connaitre les types d'attaques contre lesquelles tu veux lutter et le détail de ton infrastructure, il est difficile de te donner plus d'info... Quel est ton serveur web? Quel est ton système? Le volume de trafic? Beaucoup de trafic reverse-proxyfié ou natté (mobile par ex) ? etc...
A+
Le 6 mai 2014 22:42, maxime@infonorac.fr a écrit :
Hello la liste,
Avez-vous une solution contre les attaques slowloris ciblées sur une adresse IP ? En effet j'ai entendu parlé de Cloudflare mais celui-ci protège des attaques Slowloris ciblées sur un nom de domaine. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Pour le coup, la réponse à cette question m'interesse aussi beaucoup, c'est l'une des rare attaque que j'ai eu du mal à gérer, même avec HAProxy.
Disons un environnement standard : Debian 7, LAMP standard up-to-date. Que ferais du dans ce cas de figure ou un HAproxy n'aurais pas d'effet ?
Jérémy
Le 06/05/2014 23:24, Nathan delhaye a écrit :
Hello,
Tu peux regarder du côté de mod_antiloris si ton serveur est un apache. L'utilisation d'un serveur événementiel du genre nginx ou haproxy peut aussi considérablement augmenter ta résistance à l'attaque pour évider d'avoir 100% de tes worker en Reading qui foutent rien.
Il y a aussi le module "recent" d'iptables à un niveau plus bas.
Mais ce ne sont des solutions que contre certains types de slowloris. Sans connaitre les types d'attaques contre lesquelles tu veux lutter et le détail de ton infrastructure, il est difficile de te donner plus d'info... Quel est ton serveur web? Quel est ton système? Le volume de trafic? Beaucoup de trafic reverse-proxyfié ou natté (mobile par ex) ? etc...
A+
Le 6 mai 2014 22:42, <maxime@infonorac.fr mailto:maxime@infonorac.fr> a écrit :
Hello la liste, Avez-vous une solution contre les attaques slowloris ciblées sur une adresse IP ? En effet j'ai entendu parlé de Cloudflare mais celui-ci protège des attaques Slowloris ciblées sur un nom de domaine. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/-- Nathan Delhaye 06 69 27 64 25 0805 696 494
Liste de diffusion du FRsAG http://www.frsag.org/
Merci pour vos retour.
Pour ma part c'est pour mon serveur perso (un simple serveur OVH, avec un Apache) ! Il y a des petits malins qui qui de temps en temps ciblent mon IP avec un slowloris ! Je vais regarder pour le "mod_antiloris", de mon côté j'ai trouvé une petite règle iptables iptables -A INPUT -p tcp –dport 80 -m connlimit –connlimit-above 50 -j REJECT –reject-with tcp-reset
Le 07/05/2014 02:21, Jeremy a écrit :
Pour le coup, la réponse à cette question m'interesse aussi beaucoup, c'est l'une des rare attaque que j'ai eu du mal à gérer, même avec HAProxy.
Disons un environnement standard : Debian 7, LAMP standard up-to-date. Que ferais du dans ce cas de figure ou un HAproxy n'aurais pas d'effet ?
Jérémy
Le 06/05/2014 23:24, Nathan delhaye a écrit :
Hello,
Tu peux regarder du côté de mod_antiloris si ton serveur est un apache. L'utilisation d'un serveur événementiel du genre nginx ou haproxy peut aussi considérablement augmenter ta résistance à l'attaque pour évider d'avoir 100% de tes worker en Reading qui foutent rien.
Il y a aussi le module "recent" d'iptables à un niveau plus bas.
Mais ce ne sont des solutions que contre certains types de slowloris. Sans connaitre les types d'attaques contre lesquelles tu veux lutter et le détail de ton infrastructure, il est difficile de te donner plus d'info... Quel est ton serveur web? Quel est ton système? Le volume de trafic? Beaucoup de trafic reverse-proxyfié ou natté (mobile par ex) ? etc...
A+
Le 6 mai 2014 22:42, <maxime@infonorac.fr mailto:maxime@infonorac.fr> a écrit :
Hello la liste, Avez-vous une solution contre les attaques slowloris ciblées sur une adresse IP ? En effet j'ai entendu parlé de Cloudflare mais celui-ci protège des attaques Slowloris ciblées sur un nom dedomaine. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Nathan Delhaye 06 69 27 64 25 0805 696 494
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour
A priori, le module Apache mod_reqtimeout permet de s'en protéger: https://httpd.apache.org/docs/2.4/mod/mod_reqtimeout.html Cordialement
Salut,
Quel niveau de connexion tu prends et que HAProxy aurait du mal à gérer? A quoi ressemble ta configuration?
Baptiste
2014-05-07 2:21 GMT+02:00 Jeremy liste@freeheberg.com:
Pour le coup, la réponse à cette question m'interesse aussi beaucoup, c'est l'une des rare attaque que j'ai eu du mal à gérer, même avec HAProxy.
Disons un environnement standard : Debian 7, LAMP standard up-to-date. Que ferais du dans ce cas de figure ou un HAproxy n'aurais pas d'effet ?
Jérémy
Le 06/05/2014 23:24, Nathan delhaye a écrit :
Hello,
Tu peux regarder du côté de mod_antiloris si ton serveur est un apache. L'utilisation d'un serveur événementiel du genre nginx ou haproxy peut aussi considérablement augmenter ta résistance à l'attaque pour évider d'avoir 100% de tes worker en Reading qui foutent rien.
Il y a aussi le module "recent" d'iptables à un niveau plus bas.
Mais ce ne sont des solutions que contre certains types de slowloris. Sans connaitre les types d'attaques contre lesquelles tu veux lutter et le détail de ton infrastructure, il est difficile de te donner plus d'info... Quel est ton serveur web? Quel est ton système? Le volume de trafic? Beaucoup de trafic reverse-proxyfié ou natté (mobile par ex) ? etc...
A+
Le 6 mai 2014 22:42, <maxime@infonorac.fr mailto:maxime@infonorac.fr> a écrit :
Hello la liste, Avez-vous une solution contre les attaques slowloris ciblées sur une adresse IP ? En effet j'ai entendu parlé de Cloudflare mais celui-ci protège des attaques Slowloris ciblées sur un nom de domaine. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/-- Nathan Delhaye 06 69 27 64 25 0805 696 494
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Pour le moment sur mon serveur j'ai une configuration Apache assez standard, j'ai juste ajouté un fail2ban qui bloque les erreurs 404 et les requêtes W00tW00t, j'ai ajouté également le mod_geoip d'Apache pour bloquer plusieurs pays. Je vais donc maintenant regarder du côté du mod_antiloris et le mod_reqtimeout.
Le 07/05/2014 08:53, Baptiste a écrit :
Salut,
Quel niveau de connexion tu prends et que HAProxy aurait du mal à gérer? A quoi ressemble ta configuration?
Baptiste
2014-05-07 2:21 GMT+02:00 Jeremy liste@freeheberg.com:
Pour le coup, la réponse à cette question m'interesse aussi beaucoup, c'est l'une des rare attaque que j'ai eu du mal à gérer, même avec HAProxy.
Disons un environnement standard : Debian 7, LAMP standard up-to-date. Que ferais du dans ce cas de figure ou un HAproxy n'aurais pas d'effet ?
Jérémy
Le 06/05/2014 23:24, Nathan delhaye a écrit :
Hello,
Tu peux regarder du côté de mod_antiloris si ton serveur est un apache. L'utilisation d'un serveur événementiel du genre nginx ou haproxy peut aussi considérablement augmenter ta résistance à l'attaque pour évider d'avoir 100% de tes worker en Reading qui foutent rien.
Il y a aussi le module "recent" d'iptables à un niveau plus bas.
Mais ce ne sont des solutions que contre certains types de slowloris. Sans connaitre les types d'attaques contre lesquelles tu veux lutter et le détail de ton infrastructure, il est difficile de te donner plus d'info... Quel est ton serveur web? Quel est ton système? Le volume de trafic? Beaucoup de trafic reverse-proxyfié ou natté (mobile par ex) ? etc...
A+
Le 6 mai 2014 22:42, <maxime@infonorac.fr mailto:maxime@infonorac.fr> a écrit :
Hello la liste, Avez-vous une solution contre les attaques slowloris ciblées sur une adresse IP ? En effet j'ai entendu parlé de Cloudflare mais celui-ci protège des attaques Slowloris ciblées sur un nom dedomaine. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Nathan Delhaye 06 69 27 64 25 0805 696 494
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Salut,
Le HAproxy est en conf standard de ce que j'en sait (pas moi qui l'ai déployé). Y a 4 VM apache2 standard derrière. On a parfois reçu du syn flood TCP et du slow lorris. L'infra tombe instantanément quand ça survient. D'un coté le HAproxy qui s'écroule complètement (plus de transmissions de requêtes, même légitime), et de l'autre, les apache qui sont plein de Reading.
Vraiment chelou ...
Jérémy
Le 07/05/2014 08:53, Baptiste a écrit :
Salut,
Quel niveau de connexion tu prends et que HAProxy aurait du mal à gérer? A quoi ressemble ta configuration?
Baptiste
2014-05-07 2:21 GMT+02:00 Jeremy liste@freeheberg.com:
Pour le coup, la réponse à cette question m'interesse aussi beaucoup, c'est l'une des rare attaque que j'ai eu du mal à gérer, même avec HAProxy.
Disons un environnement standard : Debian 7, LAMP standard up-to-date. Que ferais du dans ce cas de figure ou un HAproxy n'aurais pas d'effet ?
Jérémy
Le 06/05/2014 23:24, Nathan delhaye a écrit :
Hello,
Tu peux regarder du côté de mod_antiloris si ton serveur est un apache. L'utilisation d'un serveur événementiel du genre nginx ou haproxy peut aussi considérablement augmenter ta résistance à l'attaque pour évider d'avoir 100% de tes worker en Reading qui foutent rien.
Il y a aussi le module "recent" d'iptables à un niveau plus bas.
Mais ce ne sont des solutions que contre certains types de slowloris. Sans connaitre les types d'attaques contre lesquelles tu veux lutter et le détail de ton infrastructure, il est difficile de te donner plus d'info... Quel est ton serveur web? Quel est ton système? Le volume de trafic? Beaucoup de trafic reverse-proxyfié ou natté (mobile par ex) ? etc...
A+
Le 6 mai 2014 22:42, <maxime@infonorac.fr mailto:maxime@infonorac.fr> a écrit :
Hello la liste, Avez-vous une solution contre les attaques slowloris ciblées sur une adresse IP ? En effet j'ai entendu parlé de Cloudflare mais celui-ci protège des attaques Slowloris ciblées sur un nom de domaine. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/-- Nathan Delhaye 06 69 27 64 25 0805 696 494
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Hello,
2014-05-07 15:35 GMT+02:00 Jeremy liste@freeheberg.com:
Le HAproxy est en conf standard de ce que j'en sait (pas moi qui l'ai déployé). Y a 4 VM apache2 standard derrière. On a parfois reçu du syn flood TCP et du slow lorris. L'infra tombe instantanément quand ça survient. D'un coté le HAproxy qui s'écroule complètement (plus de transmissions de requêtes, même légitime), et de l'autre, les apache qui sont plein de Reading.
Sur de grosses infras web mutualisées, on a laissé tomber les mod_* d'Apache (si la requête arrive jusqu'à Apache, trop tard : on bouffe déjà des ressources inutiles). HAproxy fait le job à merveille (indice : http://haproxy.1wt.eu/download/1.3/examples/antidos.cfg)
Fabien
Bonjour tout le monde
Comme on est vendredi, je vais surement dire une bêtise mais est ce qu'un varnish en amont ne pourrait pas faire le même job que Haproxy dans ce contexte ? Si oui comment ? Si non où est ma bêtise ?
Km
Salut,
contre slowloris, n'importe quel "proxy" capable de gérer un timeout client peut faire l'affaire :) L'avantage de HAProxy sur Varnish, c'est qu'il sera beaucoup plus simple à configurer pour un non initié... En plus, t'as pas besoin de GCC pour générer ta configuration avec HAProxy (trolldi tout ça)
Baptiste
2014-05-09 9:54 GMT+02:00 cam.lafit@azerttyu.net cam.lafit@azerttyu.net:
Bonjour tout le monde
Comme on est vendredi, je vais surement dire une bêtise mais est ce qu'un varnish en amont ne pourrait pas faire le même job que Haproxy dans ce contexte ? Si oui comment ? Si non où est ma bêtise ?
Km _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le 7 mai 2014 15:35, Jeremy liste@freeheberg.com a écrit :
Salut,
Le HAproxy est en conf standard de ce que j'en sait (pas moi qui l'ai déployé). Y a 4 VM apache2 standard derrière. On a parfois reçu du syn flood TCP et du slow lorris. L'infra tombe instantanément quand ça survient. D'un coté le HAproxy qui s'écroule complètement (plus de transmissions de requêtes, même légitime), et de l'autre, les apache qui sont plein de Reading.
Vraiment chelou ...
Jérémy
Bha déjà, si ça tombe quand t'a un synflood, faut commencer par ça. Résoudre ton attaque L7 alors que le L4 tiens pas, ça sert a rien. Tes syncookies sont activés? Est-ce que tu aurais pas un (violent) spam de message de la part du kernel dans le syslog?
-
Baptiste -
cam.lafit@azerttyu.net -
Christophe Grenier -
Fabien Germain -
Jeremy -
maxime@infonorac.fr -
Nathan delhaye