Bonsoir à tous, Finalement, c'est Benjamin Riou (http://lists.debian.org/debian-user-french/2007/05/msg00765.html) qui, j'espère, m'a mis sur les rails pour trouver une solution. J'espère parce que l'attaque s'est arrêtée (jusqu'à la prochaine fois...). Comme quoi, une "probable connerie" n'en est pas forcément une :-) Merci Benjamin.
Le plus simple est effectivement de filtrer sur la présence (ou pas) d'une requête HTTP, ce qui n'empêche pas de limiter le nombre de connexions par IP. Bon, la redirection ou le rewrite rule ne me conviennent pas pour différentes raisons, mais un proxy léger et rapide m'irait comme un gant. Donc, j'ai un peu fouillé le net et suis tombé sur ça: pound (http://www.apsis.ch/pound/ et packagé Debian) ou HAProxy (http://haproxy.1wt.eu/ mais pas packagé :-( ). Ils semblent très légers et performants et leur configuration, a priori, assez simple. Je teste tout ça le plus rapidement possible et je vous tiens au courant. Merci en tout cas pour toutes vos suggestions, ça fait toujours avancer sa propre réflexion :-) @+ JB François Boisson a écrit : > Le Wed, 16 May 2007 08:05:04 +0200 > Stephane Bortzmeyer <[EMAIL PROTECTED]> a écrit: > >> On Wed, May 16, 2007 at 12:11:31AM +0200, >> François Boisson <[EMAIL PROTECTED]> wrote >> a message of 25 lines which said: >> >>> J'ai du mal à croire qu'un gars ait dix mille machines à sa >>> disposition pour te polluer mais je ne comprends pas comment il >>> fait... >> C'est un petit botnet. Les plus gros font plus de cent mille >> machines. « A botnet is comparable to compulsory military service for >> Windows boxes » (Stromberg) >> >> Voir l'excellent article de Honeynet « Know your Enemy » >> http://www.honeynet.org/papers/bots/ > > Merci de ce papier particulièrement complet, Il ne manque que le prix de > location et l'endroit où trouver cela. Je ne pensais pas que ce phénomène > s'était généralisé à ce point. > > Le problème consiste donc à différencier une connexion vivante d'une connexion > endormie et ce, juste après l'établissement de la dite connexion. Je ne vois > qu'une fonctionnalité de netfilter que je ne connaitrais pas ou un wrapper à > Apache (à faire)... > > François Boisson > >
