La Fibre

Télécom => Réseau => reseau Attaques informatiques => Discussion démarrée par: vivien le 14 juillet 2015 à 13:12:37

Titre: Attaques d'IP Chinoises en slow http, pourquoi ?
Posté par: vivien le 14 juillet 2015 à 13:12:37
Attaques d'IP Chinoises en slow http, pourquoi ?

Je vois régulièrement des pic d'utilisation d'Apache2, en terme de slots utilisés, donc de connexions simultanées.

Ce sont des connexions "slow http", car je ne vois aucune augmentation du trafic utilisé par Apache2 => Une IP fait une requête en envoyant très lentement paquet après paquet, ou en mettant du temps pour acquitter chaque paquet reçus.

Toutes les IP qui font ces connexions "slow http" ont pour point commun d'être des IP chinoises, et de ne pas demander un téléchargement complet du fichier, mais une partie (code de retour http 206 et non 200).
Le user-agent est généralement de ce type (Internet Explorer 7 n'est pas un navigateur utilisé régulièrement) :
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET CLR 1.1.4322; .NET4.0C)
Au début, je me suis dit que c'était peut-être le Great Firewall de la chine qui fait ça sur lafibre.info, suite à des post qui ne plaisent pas.

Le problème : j'ai ces "attaques" aussi sur deux sites tout simples : https://iperf.fr et https://soft.lafibre.info/
Sur ces sites, il est habituel d'avoir 99% des connexions qui sont chinoises et qui ne sont visiblement pas d’origine humaines.

Exemple hier pour https://soft.lafibre.info/ : (un site statique avec des ISO d'anciens Linux à télécharger)

Jusqu'à 150 slots Apache2 utilisés en parallèles, par ces connexions inutiles, qui génère peu de trafic.
(https://lafibre.info/images/stats/201507_log_old-linux_journee.png)

J'ai mis les log de la journée du 13 juillet de https://soft.lafibre.info/ dans un fichier Calc (lisible avec LibreOffice Calc, OpenOffice Calc ou Microsoft Excel) : 201507_log_old-linux_journee.ods (https://lafibre.info/images/stats/201507_log_old-linux_journee.ods)
10864 requêtes http réalisées par 9 IP chinoises, pour un total de 1645 Mo (volume relativement faible). (J'ai enlevé dans mon fichier les requêtes des vrais visiteurs, bien moins nombreuses, pour un volume téléchargé supérieur)

Ces requêtes sont sans impact. Contrairement a des attaques ciblées, là les requêtes sont quasi-permanentes et pas assez concentrés pour impacter le site[/size]

=> Quel est le but recherché ? Pourquoi ces requêtes ?
Titre: Attaques d'IP Chinoises en slow http, pourquoi ?
Posté par: Phach le 14 juillet 2015 à 13:25:22
C'est un Deni de Service ou une tentative de voir si tu es vulnérable, fais une recherche sur Apache Killer.

https://github.com/petdance/scraps/blob/master/killapache.pl



Titre: Attaques d'IP Chinoises en slow http, pourquoi ?
Posté par: Marin le 14 juillet 2015 à 13:36:21
Salut,

J'ai mis les log de la journée du 13 juillet de https://soft.lafibre.info/ dans un fichier Calc (lisible avec LibreOffice Calc, OpenOffice Calc ou Microsoft Excel) : 201507_log_old-linux_journee.ods (https://lafibre.info/images/stats/201507_log_old-linux_journee.ods)
10864 requêtes http réalisées par 9 IP chinoises, pour un total de 1645 Mo (volume relativement faible). (J'ai enlevé dans mon fichier les requêtes des vrais visiteurs, bien moins nombreuses, pour un volume téléchargé supérieur)

Qu'est-ce qui indique concrètement que ce ne sont pas juste des visiteurs chinois qui essayent de télécharger une distribution depuis une connexion à forte latence ?

C'est ce que je vois quand j'essaye d'interpréter ton fichier LibreOffice. Il est normal qu'il y ait un grand nombre de requêtes si le fichier est téléchargé par blocs de 69 Ko (comportement normal de certains navigateurs dans certains cas de figure).

La forte latence des échanges, et/ou un éventuel problème de connexions TCP mal gérées, doivent être du fait de la mauvaise connectivité, notoire, de la Chine avec l'étranger. Difficile d'en mesurer plus concrètement les causes et les conséquences sans disposer d'une vraie capture réseau.
Titre: Attaques d'IP Chinoises en slow http, pourquoi ?
Posté par: vivien le 14 juillet 2015 à 13:51:51
Quel logiciel télécharge par bloc de 69Ko ?

Maintenant, ok, un logiciel télécharge par bloc de 69 Ko, mais pourquoi il réalise plus de 100 connexions TCP en simultanées ?

Les gestionnaires de téléchargement se limitent à 10 connexions TCP en parallèle.
Titre: Attaques d'IP Chinoises en slow http, pourquoi ?
Posté par: Marin le 14 juillet 2015 à 14:09:58
mais pourquoi il réalise plus de 100 connexions TCP en simultanées ?

Pour commencer, es-tu sûr qu'il y a un quelconque rapport entre les logs de téléchargement, en apparence légitime, de distributions que tu nous montres, et les observations de l'établissement de « plus de 100 connexions TCP en simultanées », au-delà de leur provenance de l'Empire du Milieu ? Y a-t-il des adresses IP clairement en commun ?

J'ai l'impression que tu nous présentes deux données sans rapport.

Quel logiciel télécharge par bloc de 69Ko ?

Les logs contenus dans le fichier LibreOffice affichent un comportement qui n'est pas manifestement anormal pour Internet Explorer 6 et 7.
Titre: Attaques d'IP Chinoises en slow http, pourquoi ?
Posté par: vivien le 14 juillet 2015 à 18:37:44
J'ai isolé le site sur un serveur Apache qui n'a que ce site, pour être sur d'isoler le problème a ce site.

Les autres téléchargements légitimes, sont peu nombreux en nombre de requêtes : quelques centaines de requête sur la journée. Même si une requête légitime prend du temps (ligne ADSL à bas débit), cela n'explique pas des pic à plus de 150 connexions.

=> Les connexions "slow http" sont donc liées aux IP chinoises qui demandent un contenu partiel

J'ai fait un export des téléchargements d'une seule des IP chinoises sur un mois : L'IP 223.223.177.94
=> 201507_log_old-linux_mois_ip_223.223.177.94.ods (https://lafibre.info/images/stats/201507_log_old-linux_mois_ip_223.223.177.94.ods)

En un mois, cette IP a réalisée 62 179 requêtes à mon serveur, toutes pour le fichier freebsd-10.0-i386.iso (2,2 Go)
Les 62 179 requêtes totalise 6,9 Go.

Quelques dates où le fichier freebsd-10.0-i386.iso a été téléchargé (partiellement) par l'IP 223.223.177.94 :
14/Jun/2015:09:41:33
15/Jun/2015:13:31:22
15/Jun/2015:15:08:44
16/Jun/2015:14:59:37
16/Jun/2015:16:58:26
16/Jun/2015:19:14:16
16/Jun/2015:21:00:02
17/Jun/2015:03:17:07
23/Jun/2015:06:15:50
23/Jun/2015:08:17:07
23/Jun/2015:16:03:46
23/Jun/2015:19:05:11
23/Jun/2015:20:38:04
24/Jun/2015:16:46:54
24/Jun/2015:19:06:52
24/Jun/2015:22:54:03
26/Jun/2015:05:07:51
27/Jun/2015:10:50:31
27/Jun/2015:12:55:42
27/Jun/2015:13:47:57
29/Jun/2015:16:00:21
29/Jun/2015:19:30:04
29/Jun/2015:23:50:05
01/Jul/2015:03:15:17
01/Jul/2015:16:20:50
01/Jul/2015:18:47:45
01/Jul/2015:21:05:59
03/Jul/2015:00:58:26
03/Jul/2015:02:49:54
03/Jul/2015:15:30:55
03/Jul/2015:19:15:22
03/Jul/2015:21:42:21
05/Jul/2015:22:34:21
06/Jul/2015:01:03:13
06/Jul/2015:03:13:20
07/Jul/2015:06:36:58
08/Jul/2015:17:49:07
08/Jul/2015:20:29:34
13/Jul/2015:03:28:46
13/Jul/2015:15:46:26
13/Jul/2015:18:44:28
13/Jul/2015:23:25:59

Quel peut être le but ?

Ces téléchargements ne me gênent pas plus que cela, mais je voudrais comprendre l'objectif...
Titre: Attaques d'IP Chinoises en slow http, pourquoi ?
Posté par: cali le 14 juillet 2015 à 19:40:51
tu peux pas capturer les paquets ?
Titre: Attaques d'IP Chinoises en slow http, pourquoi ?
Posté par: vivien le 14 juillet 2015 à 19:50:53
C'est possible, mais cela apporterais quoi de plus d'avoir les paquets ?

14 juillet : La liste des IP ayant effectuées de nombreuses requêtes, pour les 19 premières heures de cette journée du 14 juillet.
=> 201507_log_old-linux_journee_14juillet.ods (https://lafibre.info/images/stats/201507_log_old-linux_journee_14juillet.ods)
6530 requêtes effectuées par 9 adresses IP (pas toutes les mêmes que les 9 IP d'hier) pour un total de 1769 Mo téléchargés.

=> Toutes les IP sont chinoises
=> Les user-agent mentionnent systématiquement Internet Explorer 6 ou Internet Explorer 7
=> Les requêtes sont toutes des demande partielle de fichier
=> C'est toujours le même fichier demandé.
=> Jusqu'à 70 slots Apache2 utilise simultanèment, donc je présume qu'il y a du "slow http" sur ces requêtes, car les requêtes légitimes sont peu nombreuses.
Titre: Attaques d'IP Chinoises en slow http, pourquoi ?
Posté par: BadMax le 14 juillet 2015 à 20:02:22
Question: à quel pourcentage du download de l'image ISO ça bloque ?
Titre: Attaques d'IP Chinoises en slow http, pourquoi ?
Posté par: Marin le 14 juillet 2015 à 20:11:39
C'est possible, mais cela apporterais quoi de plus d'avoir les paquets ?

De comprendre le problème avec certitude (plutôt que de faire des suppositions à partir d'indicateurs auxiliaires).
Titre: Attaques d'IP Chinoises en slow http, pourquoi ?
Posté par: vivien le 14 juillet 2015 à 20:14:24
Il est possible de demander à Apache2 plus d'information dans ses logs ?

J'aimerais bien avoir :
- La durée du téléchargement (pour permettre de séparer les slow http des autres requêtes en fonction du ratio durée / taille téléchargée) de chaque requête
- La partie du fichier demandé (en cas de demande partielle).
Titre: Attaques d'IP Chinoises en slow http, pourquoi ?
Posté par: vivien le 16 juillet 2015 à 18:13:33
Voici une capture Wireshark.

J'ai eu cette nuit un pic plus modeste de 30 slots Apache2 utilisé par toujours la même IP 223.223.177.94, qui continue, inlassablement à télécharger le fichier freebsd-10.0-i386.iso (2,2 Go)

699 requêtes ont été réalisée par cette IP dans la nuit (entre 16/Jul/2015:02:13:13 et 16/Jul/2015:03:19:12) soit 66 minutes
=> 1 connexion http en moyenne toutes les 5,6 secondes

Les log Apache pour le 15/16 juillet en ne gardant que les 23 IP qui réalisent de nombreuses requêtes http : 201507_log_old-linux_journee_16juillet.ods (https://lafibre.info/images/stats/201507_log_old-linux_journee_16juillet.ods)
=> Toutes les IP sont chinoises
=> Les user-agent mentionnent systématiquement Internet Explorer 6 ou Internet Explorer 7
=> Les requêtes sont toutes des demande partielle de fichier

La capture Wireshark de l'IP 223.223.177.94 : (le format .pcapng.gz est directement lisible par Wireshark sans décompression)
=> 201507_log_old-linux_ip_223.223.177.94.pcapng.gz (https://lafibre.info/images/stats/201507_log_old-linux_ip_223.223.177.94.pcapng.gz)

La connexion télécharge 328 Kio, mais la connexion http reste ouverte 5 minutes !

Exemple de la première connexion TCP "0" :
(https://lafibre.info/images/stats/201507_log_old-linux_ip_223.223.177.94_0.png)

C'est la même choses pour de nombreuses autres connexions TCP : La connexion TCP "10" dépasse 9 minutes pour 2,1 Mio téléchargé !
(https://lafibre.info/images/stats/201507_log_old-linux_ip_223.223.177.94_10.png)

Bref, l’ouverture toutes les 5,6 secondes de connexions TCP qui durent 5 minutes expliquent l'occupation de nombreux slots Apache.

Le bug dans l'implèmentation de TCP/IP, c'est coté client ou coté serveur ? (je parle de la connexion "0" avec une absence d’acquittements reçus)

Sinon une idée pourquoi cette IP 223.223.177.94 me télécharge freebsd-10.0-i386.iso depuis plus d'un mois ?