Denis Szalkowski Formateur Consultant

Formateur et formations Linux Red Hat, CentOS, Fedora, Ubuntu Server, Debian, SUSE, openSUSE, Bash, PowerShell, IPv6, Sécurité informatique, GLPI, FusionInventory, Squid, LAMP, Apache, MySQL, PostgreSQL, SQL Server, Oracle Database, SQL, PHP, WordPress, SEO, Référencement naturel, Veille stratégique et concurrentielle

Nouvelle attaque en DDoS et mod_evasive à la rescousse

Les attaques sur mon site Extime ont commencé après que j’ai écrit cet article sur les 630 millions reçus par Kylian MBappé. L’œuvre sans doute d’un supporter ? Le 26 octobre, je me suis pris 3465 requêtes en quelques minutes. Mal configuré au niveau de mon PHP-FPM, mon serveur n’a pas tenu la charge. Il s’est effondré très rapidement. Depuis, j’ai corrigé ce problème : l’espace mémoire alloué à l’exécution des scripts PHP était très insuffisant. Un oubli de ma part ! Depuis, je l’ai multiplié par 4. J’avais toujours, jusqu’à présent, fait le choix d’absorber les attaques en déni de service.

Le 3 novembre, comme vous pouvez l’observer sur les données ci-dessus issues de Awstats, l’attaque de type DDoS est venue d’une machine hébergée en Malaisie : 14 requêtes à la seconde sur 13 minutes 30. Sachant que les pages du site Extime comprennent en moyenne 15 composants en moyenne, mon site a absorbé plus de 160000 requêtes. Une broutille, me direz-vous ? En effet, le serveur n’a pas bougé d’un iota. Pour autant, je me suis décidé, en plus du mod_security, qui protège les accès aux commentaires et surtout aux pages de login, à ajouter le mod_evasive que je m’étais toujours refusé à installer jusqu’à présent. A tort, sans doute. Je craignais que les bots des principaux moteurs de recherche – en l’occurrence GoogleBot et BingBot – finissent par être bloqués au moment où ils  crawlent mes sites. Mon référencent naturel en aurait été profondément affecté.

Installation du module Apache mod_evasive

Étant sous Fedora, j’ai donc eu recours au gestionnaire de paquets pour installer mod_evasive :

dnf install mod_evasive

Configuration de mod_evasive

J’ai décidé de configurer mod_evasive de manière à absorber 5 requêtes à la seconde émanant de la même machine. Compte tenu du fait que mes pages de sites contiennent entre 15 et 40 composants (images png, jpg, feuilles de styles css, javascript js), j’ai décidé de totaliser, pour une machine, 125 requêtes au total par seconde. Le bannissement est fait pour une durée de 5 secondes. Cela permettra de diminuer l’impact de l’attaque en DDoS par 5. J’ai mis en whitelist toutes les adresses IPv4 et IPv6 du serveur. J’ai multiplié par 4 la valeur du paramètre de la table de hachage, DOSHashTableSize pour des raisons de performance. J’ai également créé le répertoire /var/log/httpd/mod_evasive pour y consigner les logs :

mkdir /var/log/httpd/mod_evasive
chown apache:apache /var/log/httpd/mod_evasive -R

Sous Fedora, Red Hat, CentOS, AlmaLinux et Rocky Linux, éditez le fichier /etc/httpd/conf.d/mod_evasive.conf et modifiez lui comme suit :

LoadModule evasive20_module modules/mod_evasive24.so

<IfModule mod_evasive24.c>
    DOSHashTableSize    12289
    DOSPageCount        5
    DOSSiteCount        125
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   5
    DOSLogDir           "/var/log/http/mod_evasive"
    DOSWhitelist   127.0.0.1
    DOSWhitelist ::1
</IfModule>

Pensez à recharger votre configuration :

systemctl reload httpd

• Accueil
• Présentation
• Parcours
• Compétences
• Formations
• Supports
• Actualités
• Contact
• Newsletter
• Mentions légales