Dans ce sujet, je vais traiter principalement des attaques DoS ciblant les espaces de malekal.com.
Aujourd'hui, le Firewall ASA offert par OVH a saturé à 10 000 connexions. Plutôt habitué à ces attaques, loin d'être la première et surement loin d'être la dernière - quelques exemples sur la page : Attaques DoS et Anti-DoS OVH.
Un petit tour dans les logs et on voit une attaque de type Slowloris :
Plusieurs remarques :
- Déjà on remarque qu'il y a une "tournante" au niveau des IPs et une seule IP ne bourrine pas tant que cela. Ce qui est plutôt une bonne chose pour l'attaquant, car mes protections ne détectent aucune anomalie et ne se déclenchent pas.
- Les mauvais côté : on voit aucun referrer/useragent ou PHP comme useragent qui provient de sites WEB hackés. Bref des patterns qui permettent de détecter l'attaque.
Apache est vulnérable à ces attaques HTTP qui n'est pas capable de gérer toutes connexions.
Ici le but du jeu est de faire gérer les connexions par Varnish afin de ne les pas envoyer à Apache qui sera alors allégé et pourra traiter les connexions légitimes.
Une ou deux règles sur Varnish afin que les connexions de l'attaque ne soient plus envoyés à Apache, on renvoi un 403 par Varnish.
On voit un gros pic sur les connexions gérées par Varnish :
Ensuite, on blackliste les IPs en question, on voit un pic sur ipconntrack qui redescend vite car j'envoie aussi toutes les IPs sur le Firewall ASA en front du serveur dédié qui va tout bloquer. Du coup, celles-ci n'atteignent plus le serveur dédié et le nombre de drop iptables baisse.
et hop ça drop sur le Firewall ASA.
On monte à 700 drop/s, ce qui n'est pas énorme (j'ai eu bien pire).
Quelques tweets pour se foutre de la gueule de l'attaquant : https://twitter.com/malekal_morte/statu ... 9494216704
dont celui-ci :
Quelques minutes après, l'attaque double. Dans la capture ci-dessous, on voit le nombre de connexions monter et baisser.
La baisse est due aux remontés des IPs à bloquer, mon système drop les connexions établies pour alléger le Firewall ASA.
Mon système de détection détecte bien le doublement de l'attaque (mails à 11h08) et ban les IPs sur le Firewall ASA.
On voit que l'attaque a duré une heure.
Comme cela n'a aucun effet, l'attaquant arrête... on voit le drop/s baisser.
Ce que j'ai remarqué, c'était aussi le cas pour le WordPress pingback DoS, c'est que les attaques ont lieu juste après que je publie des nouveautés sur le site des malvertising pour reporter des blocages de malvertising.
Il semblerait, comme d'habitude, qu'un groupe ne soit pas très content.
Je suis assez content du système que j'ai mis en place pour détecter ce type d'attaque, même si dans ce cas il a fallu effectuer des manipulations manuelles, mais ça aide beaucoup.
Pour aller plus loin, vous pouvez aussi lire la page : Attaque DDoS : UDP Flood et quelques informations sur ce type d'attaques sur l'actualité : Blog Sucuri : Attaques populaires sur Layer 7 (HTTP Flood)
Lire Apache : Sécuriser son site