WRInaute impliqué
Bonjour,
Il y a quelques jours, on s'est fait attaqué par une IP se trouvant par l'étranger avec une sollicitation assez lente, c'est à dire ne pouvant pas être bloqué par IPtables en mettant un nombre de connexion par seconde.
l'IP de l'attaquant ne se trouve pas dans les logs Apache, en tapant -http://notreserveur.com/server-status on voit que les process avec l'ip attaquant sont en status "Working" et occupe l'ensemble des process disponible, bloque donc les nouvelles connexions et provoque le DOS.
mais en faisant un netstat -anp, mais les process apache avec l''IP attaquant se trouvent dans un état "CLOSE_WAIT".
On a bloqué en dur la plage d'IPs provenant d'un FAI de ce pays étranger. Le problème c'est que l'attaquant est revenu depuis quelques jours avec un FAI d'un autre pays étranger, et avec la même protocole d'attaque.
Avez-vous une méthode ou une piste pour killer ce DOS utilisant le "CLOSE_WAIT" ?
Il y a quelques jours, on s'est fait attaqué par une IP se trouvant par l'étranger avec une sollicitation assez lente, c'est à dire ne pouvant pas être bloqué par IPtables en mettant un nombre de connexion par seconde.
l'IP de l'attaquant ne se trouve pas dans les logs Apache, en tapant -http://notreserveur.com/server-status on voit que les process avec l'ip attaquant sont en status "Working" et occupe l'ensemble des process disponible, bloque donc les nouvelles connexions et provoque le DOS.
Code:
Current Time: Saturday, 04-Jun-2016 18:15:37 CEST
Restart Time: Saturday, 04-Jun-2016 03:52:29 CEST
Parent Server Generation: 9
...
512 requests currently being processed, 0 idle workers
WRWWWWRWWWWWWWRWWWWWWWWRWWWWWWWWWWWWWKWWWWWWWWWWWWWWWWWWWWRWWWWW
WWWWRWWWWWWWWWWWWRWWWWWWWWWWWWWWWWWWWWWWWRWWWWWWWWWWKWWWWWWWWWWW
WWWWRWWWWWWWWWWWWWWWWWWWWWRWWWWWWWWWWWWWWWWWWWWKWWRWWWWWWWWWWWWW
WWWWWWWWWWWWWWWRWWWRWWWWWWWWWWWWWWWWWRWWWRWWWWWWWWWWWWWWWRWWWWWW
WWWRWWWRRWWWWWRWWWWWWWWWWWWRWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWW
WWRWRWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWRWWWWWRWWWWWWWWWWWWWWWWWWWWW
WWWWWWWWWWWWKWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWCWWWWWW
WWWRWWWWWRWWWWWWWWWWWWWWRWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWRWWWWWWWWmais en faisant un netstat -anp, mais les process apache avec l''IP attaquant se trouvent dans un état "CLOSE_WAIT".
On a bloqué en dur la plage d'IPs provenant d'un FAI de ce pays étranger. Le problème c'est que l'attaquant est revenu depuis quelques jours avec un FAI d'un autre pays étranger, et avec la même protocole d'attaque.
Avez-vous une méthode ou une piste pour killer ce DOS utilisant le "CLOSE_WAIT" ?
