Salut à tous,
j'ai un gros problème depuis hier matin sur mon serveur web. Pour situer le contexte, c'est une machine dédiée située chez un hébergeur professionnel (donc IP fixe évidemment), avec une puissance et une bande passante très confortables.
Depuis, hier donc, j'ai constaté une explosion du traffic entrant et sortant sur le réseau, en fait, je suis constamment à la limite autorisée par mon fournisseur.
En fouillant un peu, j'ai trouvé que le serveur web est sollicité des milliers de fois par des adresses IP inconnues, qui font des requêtes sur des pages qui n'ont rien à voir avec le mien.
Exemple fictif:
Dans la log apache, les requêtes "normales" sont de la forme:
151.54.35.57 GET /index.php?page=24
Et les lignes douteuses sont de la forme:
82.12.32.23 GET http://www.totalcasino.com/?banner=21
Bien sur, j'ai déja eu quelques codered et équivalent qui font mumuse, mais ça n'était pas bien méchant en volume. Alors que là, j'ai plus de 12000 IP différentes en moins de 24h, et la bande passante au taquet.
Ce matin, mon serveur web est inaccessible, je suppose qu'il a croulé sous la charge.
Est-ce cela qu'on appelle une attaque DDOS ?
Avant que le serveur tombe, j'avais fait un script qui automatise l'ajout de règles de firewall pour dropper tout ce qui provient d'IP douteuse trouvée dans la log. Le pb, c'est qu'il y a sans arret des nouvelles IP, donc ça peut durer longtemps. De plus, bannir les IP une par une n'est pas optimale, mais les attaques ne proviennent pas de plage d'adresses contigues 
Que faire contre ce phénomène ?
Existe-t-il une "blacklist" officielle de toutes les IP à bannir ?
Message édité par [Albator] le 22-07-2005 à 09:33:27
