Blog de Geeek, le blog geek par excellence par Ludovic Toinel ...

Balise - flood

Fil des billets - Fil des commentaires

mardi 11 septembre 2007

L'adresse IP mystérieuse ...

Par Ludovic Toinel le mardi 11 septembre 2007, 23:01 - Sécurité

rss,IE,flood

En consultant les statistiques de mon blog avec Awstats, un analyseur de log Apache, je me suis rendu compte qu'une machine a fait 8000 requêtes HTTP vers mon serveur depuis le début du mois et n'a consommé que 1.68 Mo de bande passante. Étrange non ?

Cette machine est : 89.84.38.47

Après un scan rapide de la machine avec Nmap, il s'agit d'une machine avec de faux services : un faux serveur HTTP, un faux serveur FTP, un faux serveur SSH ....

PORT   STATE    SERVICE
21/tcp open     ftp
22/tcp open     ssh
23/tcp open     telnet
25/tcp filtered smtp
80/tcp open     http

Après une analyse rapide de mes logs Apache, cette machine lit le flux RSS de mon blog toute les minutes ;-)

89.84.38.47 - - 07/Sep/2007:11:39:54 +0200 "GET /feed/rss.xml HTTP/1.1" 200 44506 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.2; MSOffice 12)"

Au moins elle est sûr d'avoir les dernières news à jour de mon blog ....

Le User-Agent me fait penser à un IE, s'agit t'il un bug d'IE ? Ou bien peut être d'un Virus qui s'amuse à flooder les feed RSS des blogs ? Ou s'agit t'il d'un agrégateur avec un faut User-Agent ?

J'imagine le désastre sur Internet si un virus s'amusait à appeler toute les minutes les Feed RSS enregistrés sur IE 7 ....

Je bloque l'IP ?

7 commentaires

jeudi 30 août 2007

Apache Mod_evasive : la solution contre les floods de spam

Par Ludovic Toinel le jeudi 30 août 2007, 23:26 - GNU-Linux

apache,linux,dos,spam,mod_evasive

Depuis plusieurs semaines mon serveur a quelques soucis de temps à autre suite à des floods inattendus de requêtes HTTP. Ces flood montent jusqu'à plus de 100 requêtes simultanées et provoquent une surconsommation CPU de mon serveur Web ainsi que des freeze au niveau Apache.

J'ai analysé les logs Apache, mais rien à faire les floodeurs proviennent d'adresse IP différentes.

J'ai donc installé un module Apache qui se nomme mod_evasive et qui permet de détecter les floods et les tentatives de déni de service. Ce module renvoie des erreurs HTTP 403 lorsque le seuil de sollicitation du serveur Web par IP a été dépassé. Ce blocage dure pendant 10 secondes (paramétrable). Il est aussi possible de demander au module d'exécuter une commande lorsque qu'un flood est détecté, il est ainsi possible d'ajouter une règle Iptables à chaque nouvelle détection de flood.

Ce module est téléchargeable depuis cette adresse :

http://www.zdziarski.com/projects/mod_evasive/

Il s'installe vraiment très simplement :

http://wiki.unelectronlibre.info/serveurweb/mod_evasive_avec_apache2

Cependant, il ne fonctionne pas correctement avec toutes les applications web, le chargement de la page d'administration de Dotclear2 pose un problème par exemple. Les icônes des plugins, dans le menu vertical, pointent tous vers la même URL : "index.php?pf=", lorsque la page est chargée par le navigateur, le module détecte plusieurs requêtes HTTP vers la même ressource et bloque le client, ce qui est très embêtant.

J'ai donc activé le module en mettant mon IP dans la Whitelist. Laissez-moi un message si vous êtes tombé sur des erreurs 403 Forbidden inattendues, je reparaméterai le module pour qu'il soit moins paranoïaque ;-)

6 commentaires

jeudi 7 juin 2007

Les faux hotspots Wi-Fi sèment le chaos ?

Par Ludovic Toinel le jeudi 7 juin 2007, 23:36 - Wifi

wifi.jpg

A la gare du nord ..

Ce flood est assez simple à réaliser, il faut juste :

Et c'est parti ...

Vous pouvez envoyer des centaines de fausses "beacon frames" contenant un faux ESSID, une adresse MAC aléatoire avec une puissance d'émission aléatoire. Vous brouillez ainsi l'accès aux différents réseaux Wifi.

C'est légal mais pas vraiment moral ....

2 commentaires

Derniers commentaires