Attaque sur conntrack sans log

Bonjour à tous,

Sur une machine, j'ai une brusque augmentation des connections suivis par netfilter :

Les connexions proviennent toutes de la même IP 210.19.250.210

>tcp 6 419157 ESTABLISHED src=210.19.250.210 dst=37.59.xx.xx sport=52377 dport=80 src=37.59.xx.xx dst=210.19.250.210 sport=80 dport=52377 [ASSURED] mark=0 use=1
tcp 6 387745 ESTABLISHED src=210.19.250.210 dst=37.59.xx.xx sport=54980 dport=80 src=37.59.xx.xx dst=210.19.250.210 sport=80 dport=54980 [ASSURED] mark=0 use=1
tcp 6 413604 ESTABLISHED src=210.19.250.210 dst=37.59.xx.xx sport=38180 dport=80 src=37.59.xx.xx dst=210.19.250.210 sport=80 dport=38180 [ASSURED] mark=0 use=1

Le port de destination est le 80 cela affiche la page du default vhost. Celui -ci est bien configuré pour logguer les événements, hors je n'ai strictement rien dans les log du serveur sur cette IP.

` grep -lRi 210.19.250.210 /var/log/`

Réponse vide

Le but de cette attaque doit être de saturer qq chose au niveau du suivi réseaux. Elles ont commencé il y a qq mois sur cette machine, je ban l'IP, et puis cela revient.
Et bien sur on est dimanche

Quelqu'un peut m'en dire plus ?
Le but ?
Pourquoi Apache ne log rien ?

Merci.

Bonjour,

question qui tue : tu as essayé de faire un tcpdump pour voir un peut plus en détails c'est quoi les requêtes qui sont fait ?

Genre :
<br />tcpdump host 210.19.250.210 -w capture_file<br />
Et après une petite analyse avec un Wireshark.

Cordialement, janus57

Ha mais c'est une super idée ça !
J'ai viré le DROP sur cette IP et lancé le tcpdump.
Y-a rien pour le moment

L'attaque à été abandonnée visiblement dommage pour le tcp-dump, ce sera pour la prochaine fois.

tcpdump host 210.19.250.210

Une attaque du même type à repris voilà le tcpdump

07:19:25.436359 IP 175.145.93.105.62137 > secoursssh.mondomaine.net.http: Flags [S], seq 1084614541, win 8192, options [mss 1452,nop,wscale 8,nop,nop,sackOK], length 0
07:19:25.436432 IP secoursssh.mondomaine.net.http > 175.145.93.105.62137: Flags [S.], seq 1499561818, ack 1084614542, win 64240, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:19:25.695466 IP 175.145.93.105.62137 > secoursssh.mondomaine.net.http: Flags [.], ack 1, win 256, length 0
07:19:31.510551 IP secoursssh.mondomaine.net.http > 175.145.93.105.62080: Flags [S.], seq 3564908076, ack 55372286, win 64240, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:19:50.807006 IP 175.145.93.105.62198 > secoursssh.mondomaine.net.http: Flags [S], seq 3615006826, win 8192, options [mss 1452,nop,wscale 8,nop,nop,sackOK], length 0
07:19:50.807076 IP secoursssh.mondomaine.net.http > 175.145.93.105.62198: Flags [S.], seq 3837827955, ack 3615006827, win 64240, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:19:51.091706 IP 175.145.93.105.62198 > secoursssh.mondomaine.net.http: Flags [.], ack 1, win 256, length 0
07:19:56.854548 IP secoursssh.mondomaine.net.http > 175.145.93.105.62137: Flags [S.], seq 1499561818, ack 1084614542, win 64240, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:20:17.153004 IP 175.145.93.105.62254 > secoursssh.mondomaine.net.http: Flags [S], seq 1831603278, win 8192, options [mss 1452,nop,wscale 8,nop,nop,sackOK], length 0
07:20:17.153115 IP secoursssh.mondomaine.net.http > 175.145.93.105.62254: Flags [S.], seq 393988377, ack 1831603279, win 64240, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:20:17.410812 IP 175.145.93.105.62254 > secoursssh.mondomaine.net.http: Flags [.], ack 1, win 256, length 0
07:20:22.198547 IP secoursssh.mondomaine.net.http > 175.145.93.105.62198: Flags [S.], seq 3837827955, ack 3615006827, win 64240, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:20:42.494754 IP 175.145.93.105.62311 > secoursssh.mondomaine.net.http: Flags [S], seq 2014050386, win 8192, options [mss 1452,nop,wscale 8,nop,nop,sackOK], length 0
07:20:42.494859 IP secoursssh.mondomaine.net.http > 175.145.93.105.62311: Flags [S.], seq 784348536, ack 2014050387, win 64240, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:20:42.743537 IP 175.145.93.105.62311 > secoursssh.mondomaine.net.http: Flags [.], ack 1, win 256, length 0
07:20:48.566539 IP secoursssh.mondomaine.net.http > 175.145.93.105.62254: Flags [S.], seq 393988377, ack 1831603279, win 64240, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:21:07.846470 IP 175.145.93.105.62371 > secoursssh.mondomaine.net.http: Flags [S], seq 1008661856, win 8192, options [mss 1452,nop,wscale 8,nop,nop,sackOK], length 0
07:21:07.846553 IP secoursssh.mondomaine.net.http > 175.145.93.105.62371: Flags [S.], seq 3750841569, ack 1008661857, win 64240, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:21:08.102621 IP 175.145.93.105.62371 > secoursssh.mondomaine.net.http: Flags [.], ack 1, win 256, length 0

peu de ressource sur gogole mais ce serait bien une attaque lente un peu à la slowloris (mauvais souvenir) mais destinée à saturer une pile netfilter.
J'ai trouvé ça : https://blog.qualys.com/vulnerabilities-threat-research/2012/01/05/slow-read

Je vais la laissé tourner un peu et chercher plus de ressources. De mémoire j'ai de la marge sur les conntrack

J'ai finis par scripter le ban de l'IP en cas de passement d'un seuil (8000).

Bonjour,

autre question con : cela ne sature pas les worker apache ?

Cordialement, janus57

Non pas con mais rien dans les log Apache et rien dans aucune autre métrique à part conntrack / netfilter .

Graph de cette semaine :