At 09:21 24/06/09, Matthieu Bouthors wrote:
fail2ban n'est pas utilisable dans le cas d'une attaque de ce type car
Apache ne log les requêtes qu'une fois qu'elles ont été exécutées et que
celles de slowloris.pl ne sont jamais exécutées.
Vu que l'outil a l'air taillé pour les script-kiddies, un bon monitoring
et un "netstat -apn" devraient permettre d'identifier et bloquer
rapidement la source d'une attaque.
Matthieu
Exact ca n'apparait pas dans les logs mais l'IP apparait dans le
server-status d'Apache.
Sinon effectivement, le netstat indiquera la liste des connexions en cours
et ce ne sera pas difficile de repérer l'IP qui flood.
Reste plus ensuite qu'à bloquer cette IP sur le serveur ou en amont sur le
réseau. Sachant que ca représente peu de trafic ce n'est pas génant au
niveau de la bande passante que ca consomme.
Maintenant on attend de voir les premieres attaques... pour l'instant c'est
calme. D'autres hébergeurs ont peut-etre déjà été impactés mais je ne sais
pas si ils viendront le dire ici.
Mais bon bloquer des flood on fait ca tous les jours ou presque, meme si
les outils changent le résultat est le meme donc rien de nouveau.
Jean-Francois COUSI
=======================================================
www.serveur-express.com Le specialiste du serveur dedie
Location, hebergement et infogerance de serveurs dedies
Tel:01.58.64.26.80 Fax:01.58.64.26.81
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/