[Annonce de service]

Nous subissons un DoS sur notre service DoH.
Le trafic sur ce service s'est multiplié par quatre en quelques jours :
stats.42l.fr/reports/weekly/20

Nous l'interrompons momentanément afin de tenter de le mitiger.

Suivre

Ces 12 dernières heures, nous avons reçu 3.5 millions de requêtes DoH, contre habituellement 500 000 par jour.

· · Web · 1 · 0 · 1

Nos services se rétablissent peu à peu. Nous avons été contraints de bannir un bloc de 255 IPs en provenance du Turkménistan.

Notre DoH est de retour. Nous avons renforcé le rate limit sur ce service de manière temporaire afin de protéger notre infrastructure en cas de nouvelle vague.

Le service Nitter, ayant subi les dommages collatéraux de cette montée en charge, devrait désormais être de nouveau opérationnel.

Merci de votre patience.

Afficher le fil de discussion

Le trafic était très équitablement réparti entre les 255 IPs du bloc qui nous spammait, nous comptons environ 10 000 requêtes par IP en 12 heures.

Ces requêtes se sont heurtées à notre rate limit à un moment donné, mais puisqu'il permet seulement de limiter le trafic par IP, il s'est révélé inefficace face à ces 255 IPs.

Afficher le fil de discussion

Réaction en chaîne : notre DoH est tombé, notre cache DNS est tombé.
Tous les services dépendant de notre cache DNS, notamment le service Nitter, sont également tombés.
Par sécurité, notre service mail utilise les résolveurs Quad9 pour éviter ce genre de situation.

Hélas, le nombre de requêtes a eu raison de notre nftables :
42l kernel: nf_conntrack: nf_conntrack: table full, dropping packet
En conséquence, notre service mail a été également affecté.

Afficher le fil de discussion

Cette montée en charge a commencé vers 8h30 ce matin et est encore en cours, mais les IPs responsables de ce déni de service sont désormais bannies, permettant un retour à la normale.

Fin du thread !

Afficher le fil de discussion

@42l Idem sur doh.bortzmeyer.fr (aussi en provenance du Turkménistan)

Plus drôle, le type fait plein de POST sur un serveur Apache vers lequel le serveur DoH redirige quand on lui demande sa politique.

@bortzmeyer @42l
Ça alors 🤔
Je n'arrive pas bien à savoir si c'est malveillant ou non. Une chose est sûre, c'est qu'on n'a pas les ressources suffisantes pour traiter leurs requêtes.

Ils ont "Intra" en user-agent, je pensais que c'était parce qu'on est listés là : github.com/Jigsaw-Code/Intra/b

Mais comme ton instance n'est pas dans la liste, c'est bizarre que tu en reçoives également...

@Neil @42l Le Turkménistan est certainement un pays qui a besoin de techniques anti-censure, comme DoH. Le User-Agent peut désigner un proxy local. J'ai du mal à croire à une attaque délibérée, vue la faiblesse du trafic.

Inscrivez-vous pour prendre part à la conversation
Framapiaf

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !