Discussion :

[iowa]

Bonjour à tous,

Mon serveur dédié a subi une attaque DDOS.
Il était extrêmement lent, presque impossible de ssh, serveur web qui time out...

J'ai donc cherché à mesurer l'attaque, les graphs mrtg de mon hébergeur ne montait pas au dessus de 1 Mb. D'habitude lors d'attaque ça monte à 20 Mb facile.

Donc je me suis dit que cela pouvait être un synflood.
Il suffit de relativement peu de paquet.
J'ai donc essayé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

netstat -an | grep SYN_RECV

Cela m'a renvoyé 4 ou 5 lignes.
Est-ce assez pour faire tomber une machine ?

Ou trouver des traces de ce DDOS ? Des logs ?

Le log apache est clean en tout cas, cela devait être sur un autre port ou à un plus haut niveau.

Merci pour votre aide.

[ok.Idriss]

Bonsoir.

Le log apache est clean en tout cas, cela devait être sur un autre port ou à un plus haut niveau.

Pas de traces suspectes du style de nombreux appels HTTP sur une page d'inscription ou de connexion par exemple ? Rien de tout cela ?

Sinon utilises-tu un SGBD du style MySQL/PostgreSQL/etc ? As-tu regardé les logs de ce côté là ?

Cela m'a renvoyé 4 ou 5 lignes.

Ça me parait assez peu, bien que je ne sois pas spécialiste ... c'est la même IP pour les 5 lignes ? Si c'est une même IP qui se répète et qu'elle t'es inconnue et te parait suspecte, bloque là et vois ce que ça donne à la longue.

Bon courage

Cordialement,
Idriss

[OcterA]

Salut,
Des erreurs suspectes dans le kern.log ou le "messages"?
Quel version d'apache utilise tu?

[iowa]

Pas de traces suspectes du style de nombreux appels HTTP sur une page d'inscription ou de connexion par exemple ? Rien de tout cela ?

Non rien de tout ça, j'ai check le access.log
Et puis si il y avait eu un gros volume, les graph mrtg s'affolerait, non ?

Sinon utilises-tu un SGBD du style MySQL/PostgreSQL/etc ? As-tu regardé les logs de ce côté là ?

Oui, j'utilise un serveur MySQL ouvert sur l'extérieur.
Mais mes logs mysql sont vides

Ça me parait assez peu, bien que je ne sois pas spécialiste ... c'est la même IP pour les 5 lignes ? Si c'est une même IP qui se répète et qu'elle t'es inconnue et te parait suspecte, bloque là et vois ce que ça donne à la longue.

Non, c’était des IPs différentes.

Des erreurs suspectes dans le kern.log ou le "messages"?

Non.

Quel version d'apache utilise tu?

Apache/2.2.16 (Debian)

J'ai pensé à ça : http://www.tux-planet.fr/multiple-ht...al-of-service/

[ok.Idriss]

Bonjour.

Ça me parait être une bonne piste, à priori (seulement quelques clients mais qui font un bourrage de requêtes HTTP inachevées). Toutefois ce qui me chiffonne c'est que ton access.log te semble clean.

Penses déjà pouvoir réduire le temps de TimeOut des connexions apache sans effet de bord comme il te le proposent ? Si c'est le cas, essayes cette solution...

Sinon as-tu regardé un peu d'où provenait les IPs de tes SYN_RECV ? N'hésites pas à les rejeter si elles paraissent suspectes (genre elle viennent de Russie ou un truc comme ça ).

Cordialement,
Idriss

[Obsidian]

Il n'est pas impossible que ce soit quand même une attaque DDOS (pas besoin de flooder le port 80 en particulier pour saturer la pile réseau) mais qu'est-ce qui, en l'état, t'amène à penser que c'est de cela qu'il s'agit ?

Cela peut être dû notamment à un problème hardware, à un soft gourmand en ressources I/O — le logiciel de backups quotidiens, par exemple, à un timeout d'un serveur externe (DNS) ou encore à un engorgement du réseau qui mène jusqu'à ton serveur…