Attaque DDOS syn flood botnet impossible à stopper

CanO 2021-01-06 15:08:48 UTC #1

Bonjour,

Je viens vous partager ma déception au regard d'une attaque qui subsiste depuis hier sur mon vps. L'assaillant à l'air plutôt bien préparé puisque le redémarrage de la machine, la configuration du firewall d'ovh, iptables n'y font rien. Il aurait visiblement créé un script automatique qui reprend l'attaque automatiquement. J'ai tout essayé et après 10 heures de recherche acharné, aujourd'hui je suis dans l'épuisement et dans l'attente d'obtenir de l'aide qui va me sortir de ce pétrin.
Voici un screen issu des logs qui résume brièvement l'attaque

Un autre screen issu de telnet

J'ai essayé divers moyens mais sans succès, rien n'arrête ce petit malin qui à l'air de prendre plaisir à faire perdre du temps.

Sich 2021-01-06 15:32:05 UTC #2

Passez votre site sur cloudflare.
ça devrait pas mal aider.
Si la config de base n'aide pas, essayez d'activer le mode "under attaque".
Vu que les IPs sont à chaque fois différentes ça me parait compliqué de configurer fail2ban / crowdsec pour faire quelque chose.

TTY 2021-01-07 06:55:05 UTC #3

+1 pour la solution de @Sich
Le gros problème avec ce type d'attaque c'est que si les IP sources sont spoofées, les bannir massivement avec un filtre Fail2ban par exemple bannira des IPs légitimes (ce qui peut être gênant pour les IPs de google ou Cloudflare par ex ).
Cela peut quand même aider dans les cas désespérés en attendant que l'attaquant se lasse vite...
Que donne le TOP 100 des ip sources ? (awk '{print $2}' /var/log/apache2/access.log | sort | uniq -c | sort -nr | head -n 100)

Il ya aussi Apache mod_event qui peut aider. C'est difficile à configurer pour éviter trop de faux positif mais peut quand même aider à mitiger l'attaque.

Bon courage, tiens nous au courant, il va se lasser (mon record c'est une semaine avec une slowloris particulièrement chiante).

CanO 2021-01-07 14:46:11 UTC #4

Bonjour,

Je vous remercie pour vos réponses. J'ai filtrer des milliers d'ips avec un script que je me suis créé pour cette situation laborieuse.
Pour résumer ce script, j'ai créé un set contenant des milliers d'ips ( des ips illégitimes seulement ) et j'ai rajouter dans la première ligne de la table d'entrée d'iptables cet hashset pour qu'il bloque en premier lieu les ips bannis. Le côté positif, c'est que les ips sont bloquées mais le site charge tout de même longuement et donc ça frêne tout juste l'attaque.

Voici un screen de netstat:

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVH Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres OVH Community.