Protéger son site Web contre les kiddies [fini]

Ici c'est l'atelier de création...
Avatar du membre
oOZz
Membre Officiel
Membre Officiel
Messages : 1126
Enregistré le : ven. 7 janv. 2011 11:10
    unknown unknown

Re: Protéger son site Web contre les kiddies [en cours]

Message par oOZz »

Prof a écrit :Pour les attaques DDOS pas de formule magique, pas de protection,
bah ! si ! tu règle la directive apache MaxClients pour interdire le serveur d'utiliser toutes les ressources de la machine.
Pour ça, divise la mémoire vive que tu alloue à Apache par la taille moyenne de mémoire virtuelle utilisée d'un process Apache2, visible avec la commande top, tu obtiendra le nombre maximum de client avant que la machine utilise le swap.

et hop !

Apache contre les attaques dDoS

Le serveur Apache peut être configuré pour limiter les impacts d'une attaque DoS.
Ouvrir une console et éditer le fichier /etc/apache2/apache2.conf :

La plus importante, ajustez la directive MaxClients pour interdire au serveur Web d'utiliser toutes les ressources de la machine. Pour se faire, divisez la mémoire vive que vous voulez allouer à Apache par la taille moyenne de mémoire virtuelle utilisée d'un process Apache2, visible avec la commande top. Vous obtenez le nombre maximum de client avant que la machine utilise le swap.
Diminuez la directive TimeOut autant que votre application Web le permet. Par exemple, la valeur 60 libérera la connexion au bout de 60 secondes en envoyant un timeout au client. Par conséquent les traitements normaux ne devront également pas excéder 60 secondes. Attention au long traitement batch.
Diminuez la directive KeepAliveTimeout. Attention, une valeur trop basse impacte les performances.
Vous pouvez limiter la taille des requêtes, des headers, des champs HTTP avec les directives LimitRequestBody, LimitRequestFields, LimitRequestFieldSize, LimitRequestLine, et LimitXMLRequestBody. A utiliser avec prudence pour ne pas bloquer une fonctionnalité.

mod_evasive contre les attaques dDoS

Vous pouvez également installer un module Apache dédié à la prévention des attaques DoS.
Le mod_evasive crée une table dynamique des IP clients et des URL demandées. Par défaut, il blacklist et renvoie une erreur 403 si l'IP :

fait plus de X requêtes par seconde sur une uri
fait plus de X requêtes par seconde sur un process Apache
continue de faire des requêtes alors qu'il est blacklisté

Pour l'installer et activer, ouvrez une ligne de commande :

Code : Tout sélectionner

# aptitude install libapache2-mod-evasive
# a2enmod mod-evasive
Pour définir la configuration éditer: /etc/apache2/mods-available/mod-evasive.conf

Ajouter et ajuster au besoins les lignes suivantes :

Code : Tout sélectionner

# mod_evasive

<IfModule mod_evasive20.c>
           # taille de la table de surveillance, a augmenter pour les DDoS
           DOSHashTableSize 2048
           # Nb maximum de refresh d'une uri par periode
           DOSPageCount 5
           # Duree de la periode pour la uri
           DOSPageInterval 1
           # Nb maximum de requete sur le site par periode
           DOSSiteCount 150
           # Duree de la periode pour le site
           DOSSiteInterval 1
           # Duree du blacklistage de l'IP reconduite si retentative
           DOSBlockingPeriod 10
           # Execute une action quand une IP est bloquee
           DOSSystemCommand "/sbin/iptables -I INPUT -s %s -j DROP"
           # envoie de mail quant une IP est bloquee
           DOSEmailNotify "admin@localhost"
           # repertoire des logs
           DOSLogDir "/var/log/apache2/"
           # Whitelist non surveillee
           DOSWhiteList 127.0.0.1
           DOSWhitelist 192.168.0.*
</IfModule>
Redémarrer Apache :

Code : Tout sélectionner

# /etc/init.d/apache2 restart
Maintenant tester le résultat. Tout d'abord un test depuis le réseau local dans la whitelist, il ne doit y avoir aucune erreur :

Code : Tout sélectionner

# ab -n 1000 -c 100 http://localhost/
This is ApacheBench, Version 2.3 <$Revision: 655654 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking www.webstrat.fr (be patient).....done


Server Software:        Apache/2.2.11
Server Hostname:        localhost
Server Port:            80

Document Path:          /
Document Length:        27229 bytes

Concurrency Level:      100
Time taken for tests:   0.146 seconds
Complete requests:      1000
Failed requests:        0
...
Le même test depuis une machine externe :

Code : Tout sélectionner

# ab -n 1000 -c 100 http://mon-ip-publique/
This is ApacheBench, Version 2.3 <$Revision: 655654 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking www.webstrat.fr (be patient).....done

Server Software:        Apache/2.2.11
Server Hostname:        mon-ip-publique
Server Port:            80

Document Path:          /
Document Length:        27229 bytes

Concurrency Level:      100
Time taken for tests:   4.614 seconds
Complete requests:      1000
Failed requests:        832
...
83% des requêtes ont été bloquées. L'attaque DoS va nécessiter plus d'effort pour mettre à genou le serveur.

enjoy ! ;)



Source
"J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source!"
:tmi:
"$! v0u$ p0uv32 1!r3 c3c!, v0u$ 4v32 vr4!m3n7 83$0!n d3 r!3n !"
PONPON
Membre VIP
Membre VIP
Messages : 280
Enregistré le : sam. 5 juin 2010 11:24
    unknown unknown

Re: Protéger son site Web contre les kiddies [en cours]

Message par PONPON »

très bon tuto oOZz et bien détailler !
merci a toi ;)
chatonhub
    unknown unknown

Message par chatonhub »

Bonsoir,
très bonne initiative

j'ai complété le poste du mod Evasive.
j'ai rajouté dessus quelque explication piocher par ci par la.
ainsi qu'un autre mode DDoS Attacks on Web Server (D)DOS-Deflate a voir
Il y a certainement des bonnes personnes mieux calé que moi pour tout sa (j’espère voir leur poste bientôt et merci a eux) .


Modifié en dernier par Prof le ven. 11 nov. 2011 10:24, modifié 1 fois.
Raison : pas de copier / coller mais rédaction personnelle svp.
chatonhub
    unknown unknown

Re: Protéger son site Web contre les kiddies [en cours]

Message par chatonhub »

Code : Tout sélectionner

Pour les attaques DDOS pas de formule magique, pas de protection, 
oui certainement ,il y a bien des parade mais sa l’arrête pas.
en plus pour une attaque de ddos il ne vaut pas beaucoup de pc pour faire chuté une IP (site FTP )
tout dépand surtout d’où proviens l'attaque.
Avatar du membre
Prof
Administrateur du site
Administrateur du site
Messages : 8320
Enregistré le : lun. 5 avr. 2010 20:07
Localisation : Vosges
A remercié : 1 fois
A été remercié : 22 fois
Contact :
    unknown unknown

Re: Protéger son site Web contre les kiddies [en cours]

Message par Prof »

Merci oozz et chaton de participer !

Mais je parle de rédiger un ebook pas de copier/coller tous les tutos du web à la suite ;)

Donc si vous avez le temps n'hésitez pas à reformuler ces posts et surtout à me faire des screens :)


De mon côté ça avance pas mal 8)
Règlement du forum
Toute demande d'aide ou de liens par MP est inutile !
Avatar du membre
oOZz
Membre Officiel
Membre Officiel
Messages : 1126
Enregistré le : ven. 7 janv. 2011 11:10
    unknown unknown

Re: Protéger son site Web contre les kiddies [en cours]

Message par oOZz »

mais faut pas rêver car si même les plus gros sites comme fessbouk et tweeter n'arrive pas à contrer les attaques DDoS, c'est pas nous avec nos petits moyens qu'on puisse faire quelque chose.

Mais à côté de ça, qui va mettre en place une attaque distribuée contre un simple fofo.... peu probable. les seuls qui puissent nous faire ch** sont les skiddies avec leur petit hack DoS ou SQL.

Contre les DoS oui mais DDoS y a pas grand chose... et peu de probabilité.

EDIT:
Prof a écrit :Merci oozz et chaton de participer !

Mais je parle de rédiger un ebook pas de copier/coller tous les tutos du web à la suite ;)

Donc si vous avez le temps n'hésitez pas à reformuler ces posts et surtout à me faire des screens :)


De mon côté ça avance pas mal 8)
En effet, tu as raison. ce que je t'ai donné, je ne l'ai pas inventé hein... :lol: ou alors je serait un vrai crack ! :tmi:

je pensait que tu voulais juste de l'aide pour vérifier si tout était bien en place pour le forum. Pas pour créer un eBook. Je pense qu'il y en a déjà plein la toile...
"J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source!"
:tmi:
"$! v0u$ p0uv32 1!r3 c3c!, v0u$ 4v32 vr4!m3n7 83$0!n d3 r!3n !"
Avatar du membre
Prof
Administrateur du site
Administrateur du site
Messages : 8320
Enregistré le : lun. 5 avr. 2010 20:07
Localisation : Vosges
A remercié : 1 fois
A été remercié : 22 fois
Contact :
    unknown unknown

Re: Protéger son site Web contre les kiddies [en cours]

Message par Prof »

Un petit guide d'une dizaine de pages, vulgariser, avec des screens, explicant de manière simple comment améliorer la protection de son site web...

Envoie moi vite le lien, c'est ma femme qui sera contente, j'abandonnerai la rédaction du mien ;)
Règlement du forum
Toute demande d'aide ou de liens par MP est inutile !
chatonhub
    unknown unknown

Re: Protéger son site Web contre les kiddies [en cours]

Message par chatonhub »

- 1er Conseil : Sauvegarder régulièrement et de manière automatique son site

- 2ème Conseil : Se protéger avec Crawlprotect

- 3ème Conseil : Vérifier les chmod de son site

- 4ème Conseil : Mettre en place des .htaccess pour les dossiers sensibles

- 5ème Conseil : Les petits plus bien utiles…
la dessus
mod Evasive.
mode DDoS Attacks on Web Server (D)DOS-Deflate a voir

il y a tellement de chose a faire pour ce protéger.
le web a tellement d'astuces.

la configuration du site est très importante,chmod .htcasses
(
après ma fois sécurisé ou pas ce matin j'ai eu la désagréable surprise de trouver mon serveur en sécurité hébergeur ,pour en arrivé la je peut vous dire que l’attaque a été très forte !
Avatar du membre
oOZz
Membre Officiel
Membre Officiel
Messages : 1126
Enregistré le : ven. 7 janv. 2011 11:10
    unknown unknown

Re: Protéger son site Web contre les kiddies [en cours]

Message par oOZz »

là Prof: http://www.webstrat.fr/blog/web-technol ... taques-dos" onclick="window.open(this.href);return false;
"J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source!"
:tmi:
"$! v0u$ p0uv32 1!r3 c3c!, v0u$ 4v32 vr4!m3n7 83$0!n d3 r!3n !"
Avatar du membre
Prof
Administrateur du site
Administrateur du site
Messages : 8320
Enregistré le : lun. 5 avr. 2010 20:07
Localisation : Vosges
A remercié : 1 fois
A été remercié : 22 fois
Contact :
    unknown unknown

Re: Protéger son site Web contre les kiddies [en cours]

Message par Prof »

ça devrait se terminer demain...
Règlement du forum
Toute demande d'aide ou de liens par MP est inutile !
Répondre