Par ex, moi attaquant, rien ne n'empêche de venir avec 10000 IP résidentielles françaises, qui ouvrent chacunes 10 connexions et qui les maintiennent actives.
Donc vous aurez beau m'envoyer la homepage, une page de vérif à la con ou une erreur : c'est déjà trop tard, le serveur aura déjà accepté mes connexions.

Du moment que les connexions n'atteigne pas Apache, est-ce important?
Cela fait longtemps que C10M n'est plus vraiment un souci pour des pages statique...

Envoyer des pages de vérif avec des scripts et des calculs à faire par le PC c'ets bien beau... mais le mal sera déjà fait : la connexion aura déjà été établie.

La solution miracle qui ignore les mauvaises requêtes, ça ne marche plus depuis des années.

La parade encore assez commune contre de grosses attaques, schématiquement (si on a les moyens) :
internet === serveur de répartition de charge === vérif anti-bot sur plusieurs serveurs === si ok, ça aboutit au serveur du forum dans notre cas de ce forum.

Bonjour,

HW 2.1 reçu il y a quelques jours, impossible d'obtenir une IPv4 par contre l'IPv6 c'est bon, incompréhensible ...

Mon fichier /etc/config/network :

config device
        option name 'br-lan'
        option type 'bridge'
        list ports 'lan3'
        list ports 'lan4'

config interface 'lan'
        option device 'br-lan'
        option proto 'static'
        list ipaddr '192.168.1.1/24'
        option ip6assign '60'

config device
        option type '8021q'
        option ifname 'lan2'
        option vid '100'
        option name 'lan2.100'

config interface 'wan'
        option device 'lan2.100'
        option proto 'dhcp'
        option vendorid 'BYGTELIAD'
        list dns_search 'lan'
        option hostname '*'
        option multipath 'off'
        option peerdns '0'
        list dns '1.1.1.1'

config interface 'wan6'
        option device 'lan2.100'
        option proto 'dhcpv6'
        option reqaddress 'try'
        option reqprefix '64'
        option ip6assign '64'
        option norelease '1'
        list dns_search 'lan'
        option multipath 'off'
        option peerdns '0'
        list dns '2606:4700:4700::1111'

Frustrant !

Envoyer des pages de vérif avec des scripts et des calculs à faire par le PC c'ets bien beau... mais le mal sera déjà fait : la connexion aura déjà été établie.

Par ex, moi attaquant, rien ne n'empêche de venir avec 10000 IP résidentielles françaises, qui ouvrent chacunes 10 connexions et qui les maintiennent actives.
Donc vous aurez beau m'envoyer la homepage, une page de vérif à la con ou une erreur : c'est déjà trop tard, le serveur aura déjà accepté mes connexions.

Bref, oui ça peut aider de mettre Anubis à très court terme, mais l'attaquant s'adapte toujours.
On le voit : les attaques continuent malgré le début de ce topic et les mesures mises en place.

Hier en creusant un truc sans rapport, je suis tombé sur ça : https://github.com/antoinevastel/fpscanner

C'est un système de protection contre les bots, open source, malheureusement en javascript. C'est basé à la fois sur du fingerprinting client-side, et sur de la détection server-side.

D'ailleurs sur un sujet adjacent, le même gars (qui bosse aussi pour un boite spécialisée dans la lute conte les bots) a aussi des blocklist d'IPs identifiées comme des proxies.