Des accès qui s’apparentent à des attaques DDoS

En parcourant ce matin les journaux d’activité de mon serveur Apache, j’ai vu que j’avais eu droit à près de 4669 requêtes en l’espace de 2 heures, soit 1 requête toutes les 2 secondes, de la part de machines estampillées ec2-54-xxx-xxx-xxx.compute-1.amazonaws.com. J’ai donc décidé de les bloquer, du fait du trafic parasite qu’elles génèrent, en ajoutant à l’un de mes fichiers de configuration de mon serveur Apache :

RewriteCond %{REMOTE_HOST} ^ec2-54-[0-9]{1,3}-[0-9]{1,3}-[0-9]{1,3}(\.us-west-1)?\.compute(-1)?\.amazonaws\.com$ [NC,OR]
RewriteRule ".*" "%{HTTP_HOST}/index.html" [QSA,R=302,L]

J’évite, désormais, de passer par Iptables, en faisant le choix de renvoyer vers une page statique afin de minimiser la consommation de ressources.

Malgré mes recherches DNS et Whois, je ne suis pas parvenu à savoir ce que ces machines hébergaient ! Quant à leur User Agent et leur Referrer, il n’est jamais le même. Ça sert aussi à ça le Web Analytics et Awstats.

Des accès qui s'apparentent à des attaques DDoS

Web Analytics  / Apache Awstats DDoS Déni de service Formateur Apache Formateur Awstats Formateur Web Analytics Web Analytics 

Commentaires

Bonjour,

Merci pour ce partage d’expérience, vraiment intéressant. :)

Est-ce que tu as peux en dire plus sur la différence de consommation de cpu entre l’iptables et l’accès à une page blanche ?

Est-ce qu’il y a d’autres raisons de le faire ?

Cordialement
Un lecteur régulier

@Un lecteur régulier

En terme de conso CPU, il vaut mieux utiliser Iptables.

Pourquoi ne pas rejeter leurs accès via iptables alors, je ne comprends pas …

@Nicko

Je parlais de ceux recensés par le site CVE Details. Cliquez sur les liens !

@un lecteur régulier.

J’utilisais Iptables avant. Je voulais tester !

Laisser un commentaire

(requis)

(requis)