Attaque DDoS ou bot surchargeant AEM avec trafic

CQ5.x, AEM 6.x, répartiteur AEM

Les causes potentielles peuvent être l’une des suivantes :

• Attaque par déni de service
• Recherche de bot ou un bot de grattage qui frappe des URL coûteuses
• Pic de trafic supplémentaire en raison de l'article populaire, communiqué de presse, etc.

Pour déboguer ce type de problème, il est préférable d’activer la journalisation appropriée au niveau du répartiteur:

Dans le fichier access_log du serveur Apache HTTP, ajoutez cette option au fichier httpd.conf dans les serveurs dispatcher:

LogFormat "%{X-Forwarded-For}i %h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

Dans Microsoft IIS ajoutez X-Forwarded-For dans la configuration « Enregistrement avancé ».

Cela consignerait la bonne adresse IP de l'utilisateur final.

Utilisez la sortie affichant l'adresse IP et l'agent utilisateur pour analyser s'il s'agit d'une attaque malveillante et bloquer les adresses IP incriminées si cela a du sens.

Apache:
Dans les fichiers de configuration httpd, il devrait y avoir une section pour le répartiteur.  ? Définissez DispatcherLogLevel à 3 :

DispatcherLogLevel 3

IIS:

Modifiez dis_iis.ini et définissez la valeur de journalisation sur 3:

loglevel=3

• https://docs.adobe.com/docs/fr/dispatcher.html#How%20Dispatcher%20performs%20Caching
• https://github.com/cqsupport/webinar-dispatchercache
• https://docs.adobe.com/docs/fr/dispatcher/disp-install.html#Apache Web Server - Configure Apache Web Server for Dispatcher