Auteur Sujet: Accès très lent au site (Lu 16882 fois)

timpera · « **Réponse #60 le:** 16 juillet 2025 à 09:42:51 »

Peut-être des robots qui récoltent des données pour des modèles d'intelligence artificielle ?
Les acteurs moins respectueux dans le domaine sont connus pour inonder les forums et dépôts de code via des proxy, ce qui leur permet de faire chaque requête depuis une nouvelle IP et d'éviter de se faire bloquer : https://about.readthedocs.com/blog/2024/07/ai-crawlers-abuse/ / https://saphi.re/blog/2025-abusive-ai-crawlers

Ça coûte étonnamment peu cher : https://brightdata.com/proxy-types/residential-proxies

vivien · « **Réponse #61 le:** 17 juillet 2025 à 20:08:10 »

L'attaque est de retour ce soir

19 339 Invités sur le forum, malgré le blocage de 1 837 517 IPv4 et 563 585 IPv6.

vivien · « **Réponse #62 le:** 17 juillet 2025 à 20:28:56 »

Je fais filtrer plus large, sur les plages IP qui sont massivement utilisées.

Voici comment je trouve les top harceleurs :

cat 202507_ddos_ipv4_applicatif_11juillet2025.txt | cut -d. -f1,2 | sort -n | uniq -c | sort -nr
cat 202507_ddos_ipv6_applicatif_11juillet2025.txt | cut -d: -f1,2,3 | sort -n | uniq -c | sort -nr

Cela donne ces fichiers :
https://lafibre.info/images/stats/202507_ddos_applicatif_top_ipv4.txt
https://lafibre.info/images/stats/202507_ddos_applicatif_top_ipv6.txt

Cela se lit comme ça : il y a 9665 IPv4 distinctes sur la plage 14.191.xxx.xxx qui ont attaqué le forum.

9665 14.191 8772 169.224 6596 172.56 6372 177.37 6297 179.125 5872 172.59 4962 152.59 4844 187.19 4231 152.58 4196 37.111 3733 172.58 3575 191.5 3298 186.249 3272 14.231 3270 176.29 3234 37.77 3156 45.187 3132 37.238 3051 170.78

Cela se lit comme ça : il y a 4131 IPv6 distinctes sur la plage 2001:ee0:4f39:: qui ont attaqué le forum.

4131 2001:ee0:4f39 4114 2001:ee0:4f36 3834 2001:ee0:4f35 3773 2001:ee0:4f3c 3337 2001:ee0:4f3a 2964 2001:ee0:4f37 2793 2001:ee0:429d 2781 2001:ee0:4f34 2706 2001:ee0:4f3b 2689 2001:ee0:4294 2128 2001:ee0:4f3d 2075 2001:ee0:4f38 1977 2001:ee0:4f7c 1576 2001:ee0:4f3e 1483 2001:ee0:425e 1363 2001:ee0:4255 1335 2001:ee0:51c3 1163 2001:ee0:42cb 1098 2001:ee0:4790 1089 2001:ee0:4681 1068 2001:ee0:51c4 1050 2803:1500:1c00

artemus24 · « **Réponse #63 le:** 17 juillet 2025 à 20:34:45 »

@ Vivien : qu'est-ce que tu utilises comme outil pour récupérer toutes ces adresses IP ?
A moins que tu as installé un mouchard dans le forum pour connaitre les adresses de connexion.

vivien · « **Réponse #64 le:** 17 juillet 2025 à 20:40:30 »

C'est les log Apache. Chaque requête est loguée (c'est le cas pour tous les serveurs).

Je filtre selon des règles bien précises (confidentiel) pour trouver un point qui caractérise l'attaquant.

Ensuite, j'extrais toutes les IP qui respectent cette règle, ce qui donne ces 1 837 517 IPv4 et 563 585 IPv6.

J'estime que 98% de ces IP sont liées aux attaques (il peut y avoir quelques IP légitimes dans le lot).

Je vais regarder la localisation de ces blocs d'IP massivement utilisé pour les attaques et s'il n'y a pas trop de risque de sur-blocage, je pense qu'elles seront définitivement bloquées.

Désolé pour ceux qui utilisent des VPN, mais il est probable que certains VPN hors d'Europe seront bloqués, ces plages bloquées sont nécessaires pour que le serveur (qui est significativement surdimensionné) puisse répondre pendant les attaques. Il n'est pas nécessaire de tout bloquer, il faut bloquer ce qui est nécessaire pour que le reste puisse être traité par le serveur (comme c'est le cas en ce moment).

artemus24 · « **Réponse #65 le:** 17 juillet 2025 à 21:02:54 »

Tu voulais dire le log du virtualHost définie dans Apache, pas les logs du serveur Apache car ils ne produisent rien comme trace.
Utilises tu une moulinette pour lire ces logs afin de récupérer les adresses IP ?
Je suppose que le critère est fort simple, puisque tu connais les adresses IP des membres de ce forum, il suffit de rejeter celles qui ne sont pas identifiées.

Et où mets tu le blocage de ces adresses IP indésirables ? Pas dans les directives <RequireAll> ... </RequireAll> car c'est troplourd à gérer.
J'utilise un mouchard pour récupérer les adresse IP. Et c'est lui qui vérifie leur autorisation.
Je gère cela en PHP et en MySql. C'est simple et facile à gérer.

Comme une attaque est la répétition d'une même requête, il suffit de comptabiliser le nombre de connexions dans un intervalle de temps définies à l'avance, genre par heure et quand cela dépasse un certain seuil, tu as tes coupables. Du coup, tu peux automatiser cela.

vivien · « **Réponse #66 le:** 17 juillet 2025 à 21:19:35 »

Non, je ne peux pas lier les membres du forum. L'automatisation du blocage, c'est uniquement pendant les attaques et souvent chaque attaque est unique sur la façon de l'identifier.

Je vais prendre un exemple simple : si l'attaquant fait ses requêtes avec TLS 1.2 je le repère facilement et je vais bloquer toutes les IP qui font des requêtes en TLS 1.2, vu qu'aujourd'hui tout le trafic est en TLS 1.3 (cet exemple était intéressant il y a quelques années, toutes les attaques ces dernières années sont en TLS 13).

Hors attaque, il faut étudier à la main chaque plage que je souhaite bloquer définitivement. L'idée, c'est de bloquer des IP source d'attaques régulières (c'est toujours dans les mêmes pays, bien éloignés de chez nous) en évitant le surblocage.

Optix · « **Réponse #67 le:** 17 juillet 2025 à 21:20:37 »

Mes préconisations restent d'actualité.
1) instaurer un ratelimit pour limiter les qps depuis la même IP ou le même subnet
2) mettre en cache les pages pour les invités (pour augmenter sensiblement les qps et diminuer la conso CPU qui peut être rendue pour les pages dynamiques pour les gens connectés)

Je peux aider si tu as besoin Vivien.

xp25 · « **Réponse #68 le:** 17 juillet 2025 à 21:23:18 »

Quel est le pourcentage d'IP qui sont hors des plages des OCENS Français ?

vivien · « **Réponse #69 le:** 17 juillet 2025 à 21:26:36 »

Sur cette attaque, le ratelimit est inutile.

Le cache, je vais creuser. Il y a beaucoup d'attaques qui se limitent à charger la page d'accueil (mais ce n'est pas celle en ce moment qui charge des pages assez variées, j'ai pas été voir la logique des pages demandées).

Citation de: xp25 le 17 juillet 2025 à 21:23:18

Quel est le pourcentage d'IP qui sont hors des plages des OCENS Français ?

L'attaque provient à 100% hors d'Europe.

Le top 10 :
- 14.191.0.0/16 Viet Nam AS45899 VNPT Corp
- 169.224.0.0/17 United Arab Emirates AS199739 Earthlink Telecommunications
- 172.32.0.0/11 USA AS21928 T-Mobile USA, Inc.
- 177.37.0.0/16 Brazil plusieurs petits AS
- 179.125.0.0/16 Brazil plusieurs petits AS
- 152.56.0.0/14 India AS55836 Reliance Jio Infocomm
- 187.19.128.0/17 Brazil plusieurs petits AS
- 37.111.128.0/17 Pakistan et Bangladesh plusieurs petits AS
- 191.5.0.0/16 Brazil plusieurs petits AS
- 186.249.128.0/17 Brazil plusieurs petits AS

artemus24 · « **Réponse #70 le:** 17 juillet 2025 à 22:12:02 »

@ Vivien : mais je croyais qu'une attaque DDOS consistait à saturer la bande passante. Je ne comprends en quoi faire une liste des adresses IP à rejeter peut améliorer la connectivité au forum laFibre.info.

xp25 · « **Réponse #71 le:** 17 juillet 2025 à 22:36:07 »

Citation de: vivien le 17 juillet 2025 à 21:26:36

L'attaque provient à 100% hors d'Europe.

Le top 10 :
- 14.191.0.0/16 Viet Nam AS45899 VNPT Corp
- 169.224.0.0/17 United Arab Emirates AS199739 Earthlink Telecommunications
- 172.32.0.0/11 USA AS21928 T-Mobile USA, Inc.
- 177.37.0.0/16 Brazil plusieurs petits AS
- 179.125.0.0/16 Brazil plusieurs petits AS
- 152.56.0.0/14 India AS55836 Reliance Jio Infocomm
- 187.19.128.0/17 Brazil plusieurs petits AS
- 37.111.128.0/17 Pakistan et Bangladesh plusieurs petits AS
- 191.5.0.0/16 Brazil plusieurs petits AS
- 186.249.128.0/17 Brazil plusieurs petits AS

L'Europe n'a jamais pensé à mettre en place des mécanismes pour protéger les infrastructures informatiques des pays membres d'attaques ?