OVH Community, votre nouvel espace communautaire.

Pare feu anti LAYER 7


sich
02/10/2016, 12h45
ben il faut les logs d'apache pour savoir ce qui se passe.... Ils doivent appeler une page php qui fait du mysql... Du coup si on flood la page ça va surcharger MySQL.
Tu as des logs à nous fournir pour t'aider ?

Swarzox
02/10/2016, 12h35
Ils passent directement par l'url et j'ai l'impression que ça touche le mysql car quand je le désactive le site n'a plus de crash

sich
02/10/2016, 12h18
- cloudflare pourra peut être détecter des anomalies, il faut tester c'est gratuit de base. Il y'a plusieurs niveau de sécurité à définir.
- de ton côté tu as quoi dans les logs de ton attaque ? Du flood ? Des attaques de plusieurs IP en même temps ? Ce qu'il faut c'est détecter ces comportements pour pouvoir les bloquer via fail2ban. L'avantage d'utiliser cloudflare dans ce cas serait de bloquer ces IP directement chez eux.
- Les attaquants visent un site en particulier ou passent par l'IP du serveur ?

Swarzox
02/10/2016, 12h16
Il me semble que cloudflare ne peut rien faire contre ce type d'attaque puisque il s'agit d'un trafic "légitime"

sich
02/10/2016, 11h05
Utilise cloudflare déjà en frontal devant ton serveur, ça devrait filtrer une partie des attaques.
Ensuite il te faut fail2ban, voir si tu arrives à trouver quelque chose de récurrent dans ces requests, et quand tu vois une activité suspecte sur une IP tu bloques la dite IP mais directement sur cloudflare via l'API.
Par contre si les attaques se font en direct sur ton IP tu devrais bloquer le port 80 et ne l'autoriser que pour toi ou pour cloudflare (par contre faut essayer de trouver la liste des subnets utilisés par cloudflare dans ce cas).

A quoi ressemblent tes logs pendant les attaques ?

Swarzox
02/10/2016, 10h36
Bonjour, depuis quelques temps un individu s'amuse à DDoS mon site en utilisant une méthode Layer 7. Pour faire face à ce problème j'ai tout d'abord contacter le support d'OVH mais il semble qu'ils ne peuvent rien y faire, cf :
OVH Infra Customer Service
8 août

À moi
Bonjour,

Merci de votre patience.

Après analyse, la/les attaque(s) DDoS que vous avez reçues sont en fait des attaques L7. Ce sont en fait de fausses requêtes faites vers votre serveur pour apparaître comme étant du trafic légitime. Une attaque L7 ne peut malheureusement pas être bloquée par OVH. Dû à la nature de l'attaque, un blocage à notre niveau causerait une perte de connexion totale de votre trafic web.

Notre recommandation serait de migrer le serveur web sur une IP dédié afin de séparer le trafic de vos jeux et le trafic web. Une fois fait, vous devrez configurer votre serveur HTTP pour limiter ce type d'attaques (limiter le nombre de requêtes par seconde et par IP, ajouter un plug-in de détection de flood, etc.). Par contre, ce type de mesure est à votre discrétion et n'est pas couvert par le support d'OVH.


Je reste à votre disposition pour toute demande complémentaire.
Cordialement,

Vincent D.
Technicien Support IT Expert - Dysfonctionnement Cloud / Infrastructure
J'aimerais donc savoir comment bloquer ce type d'attaque et si il faut faire un pare feu comment le faire?

Je vous remercie par avance pour vos réponses.