Accès Premium
GNT sans publicité, site mobile, fonctionnalitées exclusives...
Rejoignez-nous !
Forums Linux Linux Debian

Protection contre un DDOS tcp open

Le
Jean-Baptiste FAVRE
Bonsoir à tous,
De petits rigolos s'amusent à ouvrir des connections TCP sur mon serve=
ur web sans envoyer de requêtes.
Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière.
Le problème et que j'ai une appli un peu lourde qui nécessite un =
timeout d'apache à 25 minimum.

J'ai beau chercher, je ne trouve pas de système pour se protéger =
de telles attaques et c'est pourquoi je m'en remets à vous.
Une idée ?

Merci,
JB
Lire les 8 réponses

Questions / Réponses high-tech
Poser une question
Vidéos High-Tech et Jeu Vidéo
Plus de vidéos
Téléchargements
Plus de téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Stephane Bortzmeyer
Le #9556411
On Tue, May 15, 2007 at 06:47:53PM +0200,
Jean-Baptiste FAVRE a message of 13 lines which said:

Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière.



Les SYN cookies, sans hésiter.

"syncookies=yes" dans /etc/network/options et redémarrage (ou bien
sysctl à la main).


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Répondre en citant
Stephane Bortzmeyer
Le #9556391
On Tue, May 15, 2007 at 11:11:25PM +0200,
Pascal Hambourg a message of 26 lines which said:

Si je ne m'abuse, les SYN cookies ne protègent que contre les
connexions "half-open" (pas de ACK en réponse au SYN-ACK).



Hmmm, oui, en relisant le message originel, en effet.

syncookies seriously violate TCP protocol,



C'est très discuté.

do not allow to use TCP extensions,



C'est exact. Qui utilise ces options ? Qui les a déjà vues dans un
paquet réel ?


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Répondre en citant
Pascal Hambourg
Le #9556381
Salut,

Stephane Bortzmeyer a écrit :
Jean-Baptiste FAVRE
Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière.



Les SYN cookies, sans hésiter.



Si je ne m'abuse, les SYN cookies ne protègent que contre les connexions
"half-open" (pas de ACK en réponse au SYN-ACK). D'autre part, la
documentation du noyau prévient qu'ils présentent de sérieux inconvénients :

syncookies seriously violate TCP protocol, do not allow
to use TCP extensions, can result in serious degradation
of some services (f.e. SMTP relaying), visible not by you,
but your clients and relays, contacting you.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Répondre en citant
Pascal Hambourg
Le #9556351
Stephane Bortzmeyer a écrit :

syncookies seriously violate TCP protocol,



C'est très discuté.

do not allow to use TCP extensions,



C'est exact. Qui utilise ces options ? Qui les a déjà vues dans un
paquet réel ?



L'option MSS ? Tout le monde, non ?


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Répondre en citant
Jean Baptiste Favre
Le #9556331
Les SYN-Cookies sont déjà activés, sans problèmes (effets de bord )
jusqu'à présent.

Merci quand même,
JB

Stephane Bortzmeyer a écrit :
On Tue, May 15, 2007 at 11:11:25PM +0200,
Pascal Hambourg a message of 26 lines which said:

Si je ne m'abuse, les SYN cookies ne protègent que contre les
connexions "half-open" (pas de ACK en réponse au SYN-ACK).



Hmmm, oui, en relisant le message originel, en effet.

syncookies seriously violate TCP protocol,



C'est très discuté.

do not allow to use TCP extensions,



C'est exact. Qui utilise ces options ? Qui les a déjà vues dans un
paquet réel ?




Répondre en citant
Publicité
Suivre les réponses
Poster une réponse
Anonyme