bonjour et merci de me lire
mon serveur tourne sous debian sans aucun problème avec php mysql et apache 2. Tout se passe à merveille sauf quand un petit malin balance via je ne sais quel programme des requetes à fond la caisse.
Le module mod_evasive contre les attaques DoS est activé mais laisse tout passer. Il ne s’agit donc probablement pas de requetes http classiques mais d’autre choses je ne sais pas quoi.
Durant l’attaque, de plus en plus de processus sont marqués en W (sending reply) et y restent une fois qu’ils y sont. Donc de moins en moins de processus disponibles, puis plus aucun et donc plus aucun client n’est désservi (tous les processus bloqués à W)
voici un exemple de server_status après attaque:
350 requests currently being processed, 0 idle workers
WWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWW
WWWWWWWWWWWWWWWWWWWWWWWWWWWWWWKWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWW
WWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWW
WWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWW
WWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWW
WWWWWWWWWWWWWWWWWWWWWWWWWWWWWW…
…
Toutes les requetes appelent la meme page ou presque mais en même temps! Temporairement je deny l’ip du type qui génère ca dans httpd.conf et du coup ca se stoppe qd j’ai relancé apache mais ce n’est pas une solution.
Quelqu’un a t il une idée de la parade contre ce genre d’attaques ou au moins plus de précision sur le type f’attaque?
D’avance un grand merci à tous