Attaque DOS - Apache - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 13-10-2007 à 13:27:56
server-status ?
Peux-tu detailler ? je ne suis pas expert en administration web
J'ai augmenté les variables des paramètres de connexion dans la configuration apache. Et même s'il y a toujours 256 threads executé en simultanné, l'accès au site semble être d'aussi bonne qualité qu'avant que je ne découvre cette attaque.
Je n'en explique pas la raison et d'ailleurs j'aimerais la connaitre
Je m'y connais très peu dans le domaine des attaque sur server mais dites-moi si je m trompe, ce type d'attaque est généralement temporaire de la part de la personne qui en est responsable ?
Marsh Posté le 13-10-2007 à 13:49:39
http://httpd.apache.org/docs/2.0/mod/mod_status.html
et perso je pense pas que se soit une attaque, juste une mauvaise configuration mais bon je peux me tromper
Marsh Posté le 13-10-2007 à 15:04:03
Ok, je connaissais pas
Voilà le rapport :
Code :
|
Marsh Posté le 13-10-2007 à 15:08:16
quelques instant apres :
Code :
|
Marsh Posté le 13-10-2007 à 15:19:57
bah c'est bon.
Après normalement on peut avoir un état détaillé avec les url servies, les ip des personnes etc
Par contre regarde les ressources de ton serveur, car chaque thread consomme en ram
Marsh Posté le 13-10-2007 à 15:52:48
HA, comment faire pour voir tous ces détails ? C'est interessant.
Justement niveau ressources là est le problème.
Chaque thread consomme entre 3 et 5 mo et au final 1go de ram est occupé sur le serveur sur une quantité de 1go avec uniquement le apache comme service relativement important qui tourne dessus :
total used free shared buffers cached
Mem: 1017980 1004216 13764 0 2996 893144
Habituellement je n'ai jamais plus de 200 mo d'occupé pour toutes les applications qui tournent sur le serveur.
De plus la quantité de thread lancé par apache en simultanné est insensé puisque la fréquentation normale de mon site est telle qu'il ne peut y avoir plus de 20 clients en simultanné connecté.
Marsh Posté le 13-10-2007 à 15:59:29
J'ai redémarré la machine. Dès le reboot j'avais 100 mo de ram occupé.
20 secondes après j'avais ca :
45 requests currently being processed, 99 idle workers.
Et 300 mo de ram occupé. Alors qu'il est totalement impossible que 45 clients (en W" Sending Reply) se connectent avec la faible frequentation du site.
Marsh Posté le 13-10-2007 à 16:09:58
quelle est ta config apache ? (KeepAlive On ?, MaxClients ?, TimeOut ?)...
Marsh Posté le 13-10-2007 à 16:25:56
Je viens de remodifier les paramètres en ceux-ci :
KeepAlive off
StartServers 2
MaxClients 150
MinSpareThreads 25
MaxSpareThreads 75
ThreadsPerChild 25
un petit restart et voilà le resultat :
Code :
|
Marsh Posté le 13-10-2007 à 16:48:20
Code :
|
Là c'est sur qu'il n'y a plus d'attaque dos
Mais toujours 1go de memoire occupé
Marsh Posté le 14-10-2007 à 15:30:22
La commande free | grep apache te permettrait de voir si c'est réellement apache qui bouffe de la mémoire.
Marsh Posté le 14-10-2007 à 18:12:59
hum... cette commande ne fonctionne pas sur ma distribution debian.
Mais avec un ps aux | grep apache, je vois la grand liste (anormalement grande) des threads lancé par apache.
Je n'ai toujours pas résolu ce problème de ram consommée. Ainsi que tous ces threads lancés pour rien ...
Marsh Posté le 13-10-2007 à 12:04:14
Mon server apache ne réplond plus aux requetes 20 secondes après que je le lance.
Le log m'indique :
[Sat Oct 13 11:09:11 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
Et effectivement le nombre de thread qu'apache lance atteind le maxClient (256) indique dans la configuration d'apache.
Puisque j'atteind 256 clients en moins de 20 secondes j'assimile ca à une attaque dos.
Comment puis-je solutionner ce problème assez rapidement ?
---------------
---- www.photonization.com ----