Discussion :

[bidon.bidon1512]

Bonjour,

Depuis ce matin, je subis une attaque de type Deny Of Service.

Un ordinateur ouvre très fréquemment une nouvelle connexion sur le serveur.
Il n'effectue aucunes opérations par cette connexion.
Elle n'est fermée par Apache q'au bout du TimeOut.

J'ai effectué différentes recherches, mais je n'arrive pas à trouver un paramètre
Apache qui me permettrait de limiter le nombre de connexions par client.

Tout ce que j'arrive à trouver c'est des paramètres me permettant de limiter le nombre total de connexions.

Merci.

[gorgonite]

MaxClients et MaxRequestsPerChild

mais ce serait dommage...

et même en limitant le nombre de connexion par ip... pour les sites derrière proxy

[bidon.bidon1512]

Merci,

Mais il semblerait que ces paramètres n'ont pas l'effet désiré.
Je les ai peut être pas utilisé comme il faut.

Sinon pour être plus précis,
Voici une utilisation normale par un navigateur Web sur Apache :

1°) Ouverture d'une connexion (socket sur le port 80)
2°) Envoi d'une requete (GET d'une page par exemple)
3°) Si la connexion reste ouverte pour permettre plusieurs requetes et que le navigateur à besoin d'un autre fichier (image par exemple), envoi d'une autre requete

L'attaque consiste en :

1°) Ouverture d'une connexion (socket sur le port 80)
2°) Laisser cette connexion ouverte sans rien faire
3°) Recommencer à la ligne 1 le plus rapidement possible (1 seconde)

Nous avons installé hier au soir la dernière version d'Apache 2.2.3

Le problème semble persistait

Merci.

[gorgonite]

je connais le protocole tcp, et le principe de l'attaque "Deny of Service"...

Protection contre les DOS ( deny of service ) :
Mettre à 1 la valeur de "/pros/sys/net/ipv4/tcp_syncookies" par la commande :
echo 1 > /pros/sys/net/ipv4/tcp_syncookies
Ceci permet que le serveur ne soit pas "planté" en cas de multiples requêtes SYN par un
assaillant qui veut saturer la machine.

ça peut t'aider...

[bidon.bidon1512]

Merci,

Par contre je suis désolé. J'ai oublié de préciser que le serveur tourne sous Windows NT4.

J'étais pas sur que c'était vraiment une attaque de type Deny Of Service,
parce qu'un de nos prestataires m'a dit que pour parler de Deny Of Service, il fallait qu'il y ai au moins une requete et que c'etait cette requete qui etait sense provoque le Deny Of Service. Comme ce n'est pas mon domaine de competence... J'ai eu tendance a le croire...

Cependant, je suis etonne de ne pas trouver de parametres Apache permettant de limiter le nombre de connexions ouvertes simultanement par la meme adresse IP. Cela me semble une attaque tellement basique...

Merci.

[gorgonite]

en fait, sous unix, ça se gère au niveau IP... donc tous les services sont protégés