Auteur Sujet: LaFibre.info sous Attaque DDOS ?  (Lu 11342 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
LaFibre.info sous Attaque DDOS ?
« le: 24 mars 2015 à 11:55:41 »
LaFibre.info peut mettre un peu de temps a répondre depuis 20 minutes.

En cause : ce qui ressemble à une attaque : tous les slots Apache sont occupés par des requêtes qui ne se terminent pas...

Dans le tableau ci-dessous, chaque lettre représente un slot apache.
La plupart sont avec la lettre "R" pour Read => Le cleint est en train d'écrire sa requête.

Les IP des slot bloqués en Read sont des IP étrangères, ce qui accrédite l'attaque.

Si vous avez des conseils, ils sont les bienvenus !


Situation à 11h36 :


50 slots apache réellement utilisés, 206 slots utilisés par des IP chinoises qui bloquent en pendant le get (restent bloquées en R puis passent en C avec Null).

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
LaFibre.info sous Attaque DDOS ?
« Réponse #1 le: 24 mars 2015 à 11:57:12 »
Situation à 11h45 :

43 slots apache réellement utilisés, 213 slots utilisés par des IP chinoises qui bloquent en pendant le get (restent bloquées en R puis passent en C avec Null).

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
LaFibre.info sous Attaque DDOS ?
« Réponse #2 le: 24 mars 2015 à 11:58:54 »
Situation à 11h55 :

27 slots apache réellement utilisés, 229 slots utilisés par des IP chinoises qui bloquent en pendant le get (restent bloquées en R puis passent en C avec Null).


Optix

  • AS41114 - Expert OrneTHD
  • Abonné Orne THD
  • *
  • Messages: 4 644
  • WOOHOO !
    • OrneTHD
LaFibre.info sous Attaque DDOS ?
« Réponse #3 le: 24 mars 2015 à 12:05:29 »
Réduit les timeout au minimum, genre 5sec ;)

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
LaFibre.info sous Attaque DDOS ?
« Réponse #4 le: 24 mars 2015 à 12:14:16 »
Bonne idée...

L'attaque s'est arrêtée mais cela pourrait revenir...

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
LaFibre.info sous Attaque DDOS ?
« Réponse #5 le: 24 mars 2015 à 12:14:58 »
Bonjour,

LaFibre.info peut mettre un peu de temps a répondre depuis 20 minutes.

Ça doit être plutôt bien encaissé, je n'ai rien remarqué.

En cause : ce qui resemble à une attaque : tous les slots Apache sont occupés par des requêtes qui ne se terminent pas...

C'est marrant, que des IP chinoises.

Ça me fait penser à cet article : https://benjamin.sonntag.fr/DDOS-sur-La-Quadrature-du-Net-analyse

En gros, ça dit que parfois le système de censure du web chinois se met à déconner, et redirige toutes les connexions vers des domaines bloqués vers un seul site censuré, via les DNS. Mais pour l'instant rien n'accrédite clairement cette piste.

Est-ce que Lafibre est accessible sans VPN en Chine ?

Si vous avez des conseils, ils sont les bienvenus !

Je pense qu'il faudrait un peu plus de détails. À quoi ressemble une capture Wireshark ? On a juste des SYN envoyés, un début de requête ? Sur quel port, avec quel protocole de transport ? Est-ce qu'il y a quelque chose d'inscrit dans les logs Apache ?

eruditus

  • Client Orange adsl
  • Modérateur
  • *
  • Messages: 11 015
LaFibre.info sous Attaque DDOS ?
« Réponse #6 le: 24 mars 2015 à 12:18:13 »
Aucune latence chez moi.

thenico

  • Expert.
  • Abonné OVH
  • *
  • Messages: 1 009
  • FTTH >500 Mb/s (13)

Fab_38

  • Abonné FAI autre
  • *
  • Messages: 954
LaFibre.info sous Attaque DDOS ?
« Réponse #8 le: 24 mars 2015 à 12:24:14 »
La fibre n'est que tres difficilement accessible sans VPN en Chine. 95% des tentatives de connexions se finissent par un time out

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
LaFibre.info sous Attaque DDOS ?
« Réponse #9 le: 24 mars 2015 à 12:25:31 »
Il me semblait que lafibre.info était accessible depuis la chine il y a quelques années.

Maintenant cela semble poser problème selon le site http://www.websitepulse.com/help/testtools.china-test.html
"Unknown SSL protocol error in connection to lafibre.info:443"

Je n'ai pas fait de capture wireshark (trop tard)

Par contre j'ai pris une IP et j'ai cherché dans tous les log apache via "cat access.log | grep 49.77.144.218" et elle n’apparaît dans aucun log.

Donc je ne sais même pas si ces requettes étaient sur le port 80 ou le port 443.

Il y a un moyen d'activer des logs sur les requêtes qui tombent en time-out ?

Fab_38

  • Abonné FAI autre
  • *
  • Messages: 954
LaFibre.info sous Attaque DDOS ?
« Réponse #10 le: 24 mars 2015 à 12:30:27 »
C'etait le cas l'annee derniere. Connexion sans trop de problemes mais depuis quelques mois ça ne fonctionne vraiment pas bien. Pardon pas de time out mais Chrome m'indique une connection closed


vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
LaFibre.info sous Attaque DDOS ?
« Réponse #11 le: 24 mars 2015 à 14:53:27 »
Les 256 slots Apache utilisés au moment de l'attaque :


Nombre de demandes par seconde faite à Apache :


Nombre de threads :


Nombre de processes :


Le nombre de requêtes MySQL a lui baissé pendant l'attaque car le nombre de personne qui ont réussi a accéder au site à diminué :


Le SmokePing qui montre la dégradation du temps de réponse :


Le load average sur 5 minutes :


Le processeur (100% = 1 cpu - ici on est à 800%, car c'est un quad coeur HT)


La fréquences du processeur a augmenté :


La RAM du serveur (16 Go) :