[FRsAG] Protection contre Slowloris

Jeremy liste at freeheberg.com
Mer 7 Mai 15:35:49 CEST 2014


Salut,

Le HAproxy est en conf standard de ce que j'en sait (pas moi qui l'ai 
déployé). Y a 4 VM apache2 standard derrière.
On a parfois reçu du syn flood TCP et du slow lorris. L'infra tombe 
instantanément quand ça survient.
D'un coté le HAproxy qui s'écroule complètement (plus de transmissions 
de requêtes, même légitime), et de l'autre, les apache qui sont plein de 
Reading.

Vraiment chelou ...

Jérémy



Le 07/05/2014 08:53, Baptiste a écrit :
> Salut,
>
> Quel niveau de connexion tu prends et que HAProxy aurait du mal à gérer?
> A quoi ressemble ta configuration?
>
> Baptiste
>
>
> 2014-05-07 2:21 GMT+02:00 Jeremy <liste at freeheberg.com>:
>> Pour le coup, la réponse à cette question m'interesse aussi beaucoup, c'est
>> l'une des rare attaque que j'ai eu du mal à gérer, même avec HAProxy.
>>
>> Disons un environnement standard : Debian 7, LAMP standard up-to-date. Que
>> ferais du dans ce cas de figure ou un HAproxy n'aurais pas d'effet ?
>>
>> Jérémy
>>
>>
>> Le 06/05/2014 23:24, Nathan delhaye a écrit :
>>> Hello,
>>>
>>> Tu peux regarder du côté de mod_antiloris si ton serveur est un apache.
>>> L'utilisation d'un serveur événementiel du genre nginx ou haproxy peut aussi
>>> considérablement augmenter ta résistance à l'attaque pour évider d'avoir
>>> 100% de tes worker en Reading qui foutent rien.
>>>
>>> Il y a aussi le module "recent" d'iptables à un niveau plus bas.
>>>
>>> Mais ce ne sont des solutions que contre certains types de slowloris. Sans
>>> connaitre les types d'attaques contre lesquelles tu veux lutter et le détail
>>> de ton infrastructure, il est difficile de te donner plus d'info... Quel est
>>> ton serveur web? Quel est ton système? Le volume de trafic? Beaucoup de
>>> trafic reverse-proxyfié ou natté (mobile par ex) ? etc...
>>>
>>> A+
>>>
>>>
>>> Le 6 mai 2014 22:42, <maxime at infonorac.fr <mailto:maxime at infonorac.fr>> a
>>> écrit :
>>>
>>>
>>>      Hello la liste,
>>>
>>>      Avez-vous une solution contre les attaques slowloris ciblées sur
>>>      une adresse IP ? En effet j'ai entendu parlé de Cloudflare mais
>>>      celui-ci protège des attaques Slowloris ciblées sur un nom de domaine.
>>>      _______________________________________________
>>>      Liste de diffusion du FRsAG
>>>      http://www.frsag.org/
>>>
>>>
>>>
>>>
>>> --
>>> Nathan Delhaye
>>> 06 69 27 64 25
>>> 0805 696 494
>>>
>>>
>>> _______________________________________________
>>> Liste de diffusion du FRsAG
>>> http://www.frsag.org/
>>
>>
>> _______________________________________________
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/




Plus d'informations sur la liste de diffusion FRsAG