Je souhaiterai avoir quelques informations et astuces afin de sécuriser
un minimum les connexions réseau d'un serveur.
J'ai déjà une config « standard » : https://gist.github.com/1078590
— DROP par défaut
— acceptation des connexions sur les ports utiles (80, 443, 22…)
— acceptation des connexions déjà établies
1ère question : est-ce que vous trouvez des choses à redire ou à
améliorer dans cette configuration ?
Malheureusement, je subis actuellement des attaques, que je ne parviens
pas à limiter, et qui écroulent rapidement mes machines.
Les attaques proviennent de centaines d'IP différentes, et envoient des
quantités astronomiques de données sur le serveur (100Mb/s en download…).
Tout sature, aussi bien en terme de slots que de bande passante…
2nde question : comment puis-je me prémunir de ce genre d'attaque ?
Limiter la bp ou le nombre de connexion par IP ? Est-ce faisable via
iptables uniquement ?
Merci d'avance pour vos réponses !
- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
Malheureusement, je subis actuellement des attaques, que je ne parviens pas à limiter, et qui écroulent rapidement mes machines.
Quel genre d'attaques ? Quel(s) port(s) ? Quel type de données ?
Aéris
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Le 12/07/2011 21:37, Fabien LE LEZ a écrit :
Quel genre d'attaques ? Quel(s) port(s) ? Quel type de données ?
Tout plein d'IP (> 1.000) qui balancent mass de données vers le serveur (>100Mb/s). A priori le port 80, mais les attaques sont encore en cours d'analyse et pas grand chose dans les logs. On dirait un mix entre du syn-flood et de l'overflow apache.
Au passage, si vous avez des infos sur comment analyser ce genre d'attaque, je suis preneur.
- -- Aeris -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
Quel genre d'attaques ? Quel(s) port(s) ? Quel type de données ?
Tout plein d'IP (> 1.000) qui balancent mass de données vers le serveur
(>100Mb/s).
A priori le port 80, mais les attaques sont encore en cours d'analyse et
pas grand chose dans les logs.
On dirait un mix entre du syn-flood et de l'overflow apache.
Au passage, si vous avez des infos sur comment analyser ce genre
d'attaque, je suis preneur.
- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
Quel genre d'attaques ? Quel(s) port(s) ? Quel type de données ?
Tout plein d'IP (> 1.000) qui balancent mass de données vers le serveur (>100Mb/s). A priori le port 80, mais les attaques sont encore en cours d'analyse et pas grand chose dans les logs. On dirait un mix entre du syn-flood et de l'overflow apache.
Au passage, si vous avez des infos sur comment analyser ce genre d'attaque, je suis preneur.
- -- Aeris -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
Quel genre d'attaques ? Quel(s) port(s) ? Quel type de données ?
Tout plein d'IP (> 1.000) qui balancent mass de données vers le serveur (>100Mb/s). A priori le port 80, mais les attaques sont encore en cours d'analyse et pas grand chose dans les logs. On dirait un mix entre du syn-flood et de l'overflow apache.
Au passage, si vous avez des infos sur comment analyser ce genre d'attaque, je suis preneur.
Ben là déjà, c'est pas sur ton routeur qu'il faut filtrer, mais en amont, parceque tant qu'ils t'enverront des paquets ils passeront sur ta ligne et la satureront...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Aéris <aeris@imirhil.fr> écrivait :
Le 12/07/2011 21:37, Fabien LE LEZ a écrit :
Quel genre d'attaques ? Quel(s) port(s) ? Quel type de données ?
Tout plein d'IP (> 1.000) qui balancent mass de données vers le serveur
(>100Mb/s).
A priori le port 80, mais les attaques sont encore en cours d'analyse et
pas grand chose dans les logs.
On dirait un mix entre du syn-flood et de l'overflow apache.
Au passage, si vous avez des infos sur comment analyser ce genre
d'attaque, je suis preneur.
Ben là déjà, c'est pas sur ton routeur qu'il faut filtrer, mais en
amont, parceque tant qu'ils t'enverront des paquets ils passeront sur ta
ligne et la satureront...
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Quel genre d'attaques ? Quel(s) port(s) ? Quel type de données ?
Tout plein d'IP (> 1.000) qui balancent mass de données vers le serveur (>100Mb/s). A priori le port 80, mais les attaques sont encore en cours d'analyse et pas grand chose dans les logs. On dirait un mix entre du syn-flood et de l'overflow apache.
Au passage, si vous avez des infos sur comment analyser ce genre d'attaque, je suis preneur.
Ben là déjà, c'est pas sur ton routeur qu'il faut filtrer, mais en amont, parceque tant qu'ils t'enverront des paquets ils passeront sur ta ligne et la satureront...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Kevin Denis
Le 12-07-2011, Aéris a écrit :
A priori le port 80, mais les attaques sont encore en cours d'analyse et pas grand chose dans les logs. On dirait un mix entre du syn-flood et de l'overflow apache.
Au passage, si vous avez des infos sur comment analyser ce genre d'attaque, je suis preneur.
Un tcpdump -n -i eth0 -s0 -X -e posé quelque part pourrait être un bon début pour te répondre. (inutile de mettre 1Go, hein. 10Mo me parait un grand max). -- Kevin
Le 12-07-2011, Aéris <aeris@imirhil.fr> a écrit :
A priori le port 80, mais les attaques sont encore en cours d'analyse et
pas grand chose dans les logs.
On dirait un mix entre du syn-flood et de l'overflow apache.
Au passage, si vous avez des infos sur comment analyser ce genre
d'attaque, je suis preneur.
Un tcpdump -n -i eth0 -s0 -X -e posé quelque part pourrait être un
bon début pour te répondre. (inutile de mettre 1Go, hein. 10Mo me parait
un grand max).
--
Kevin
A priori le port 80, mais les attaques sont encore en cours d'analyse et pas grand chose dans les logs. On dirait un mix entre du syn-flood et de l'overflow apache.
Au passage, si vous avez des infos sur comment analyser ce genre d'attaque, je suis preneur.
Un tcpdump -n -i eth0 -s0 -X -e posé quelque part pourrait être un bon début pour te répondre. (inutile de mettre 1Go, hein. 10Mo me parait un grand max). -- Kevin