Protection contre un DDOS tcp open

Le
Jean-Baptiste FAVRE
Bonsoir à tous,
De petits rigolos s'amusent à ouvrir des connections TCP sur mon serve=
ur web sans envoyer de requêtes.
Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière.
Le problème et que j'ai une appli un peu lourde qui nécessite un =
timeout d'apache à 25 minimum.

J'ai beau chercher, je ne trouve pas de système pour se protéger =
de telles attaques et c'est pourquoi je m'en remets à vous.
Une idée ?

Merci,
JB
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Stephane Bortzmeyer
Le #9556411
On Tue, May 15, 2007 at 06:47:53PM +0200,
Jean-Baptiste FAVRE a message of 13 lines which said:

Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière.



Les SYN cookies, sans hésiter.

"syncookies=yes" dans /etc/network/options et redémarrage (ou bien
sysctl à la main).


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
Le #9556391
On Tue, May 15, 2007 at 11:11:25PM +0200,
Pascal Hambourg a message of 26 lines which said:

Si je ne m'abuse, les SYN cookies ne protègent que contre les
connexions "half-open" (pas de ACK en réponse au SYN-ACK).



Hmmm, oui, en relisant le message originel, en effet.

syncookies seriously violate TCP protocol,



C'est très discuté.

do not allow to use TCP extensions,



C'est exact. Qui utilise ces options ? Qui les a déjà vues dans un
paquet réel ?


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Le #9556381
Salut,

Stephane Bortzmeyer a écrit :
Jean-Baptiste FAVRE
Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière.



Les SYN cookies, sans hésiter.



Si je ne m'abuse, les SYN cookies ne protègent que contre les connexions
"half-open" (pas de ACK en réponse au SYN-ACK). D'autre part, la
documentation du noyau prévient qu'ils présentent de sérieux inconvénients :

syncookies seriously violate TCP protocol, do not allow
to use TCP extensions, can result in serious degradation
of some services (f.e. SMTP relaying), visible not by you,
but your clients and relays, contacting you.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Le #9556351
Stephane Bortzmeyer a écrit :

syncookies seriously violate TCP protocol,



C'est très discuté.

do not allow to use TCP extensions,



C'est exact. Qui utilise ces options ? Qui les a déjà vues dans un
paquet réel ?



L'option MSS ? Tout le monde, non ?


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Jean Baptiste Favre
Le #9556331
Les SYN-Cookies sont déjà activés, sans problèmes (effets de bord )
jusqu'à présent.

Merci quand même,
JB

Stephane Bortzmeyer a écrit :
On Tue, May 15, 2007 at 11:11:25PM +0200,
Pascal Hambourg a message of 26 lines which said:

Si je ne m'abuse, les SYN cookies ne protègent que contre les
connexions "half-open" (pas de ACK en réponse au SYN-ACK).



Hmmm, oui, en relisant le message originel, en effet.

syncookies seriously violate TCP protocol,



C'est très discuté.

do not allow to use TCP extensions,



C'est exact. Qui utilise ces options ? Qui les a déjà vues dans un
paquet réel ?




Franck Joncourt
Le #9556321
--dDRMvlgZJXvWKvBx
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Tue, May 15, 2007 at 10:40:17PM +0200, Stephane Bortzmeyer wrote:
On Tue, May 15, 2007 at 06:47:53PM +0200,
Jean-Baptiste FAVRE a message of 13 lines which said:

> Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière.

Les SYN cookies, sans hésiter.

"syncookies=yes" dans /etc/network/options et redémarrage (ou bien
sysctl à la main).




Si je ne dis pas de betises, les syncookies cela permet simplement
d'eviter de sauvegarder trop de ressources pour la gestion des
nouvelles connexions, en renvoyant les informations necessaires à la
mise en place des ces dernieres au client.

En plus de l'activation des syncookies, je pencherais aussi pour la mise
en place de regles iptables utilisant la correspondance *recent* pour
blacklister les clients au bout d'un certains temps (hitcount). Cela
eviterait au serveur d'avoir a traiter les nouvelles connexions
associees aux attaquants.

--
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--dDRMvlgZJXvWKvBx
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFGSikPxJBTTnXAif4RAms/AJ9gK/nrM+zOtXL098RmYah7nf6nrQCgiQPf
jfdtZVAR1MD80ZwA+gqeyA0 =gADK
-----END PGP SIGNATURE-----

--dDRMvlgZJXvWKvBx--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Franck Joncourt
Le #9556311
--qjNfmADvan18RZcF
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Tue, May 15, 2007 at 11:29:09PM +0200, Pascal Hambourg wrote:
Stephane Bortzmeyer a écrit :
>
>> syncookies seriously violate TCP protocol,
>
>C'est très discuté.
>
>> do not allow to use TCP extensions,
>
>C'est exact. Qui utilise ces options ? Qui les a déjà vues dan s un
>paquet réel ?

L'option MSS ? Tout le monde, non ?




Attends je reflechis ... Non.
Mais google il connait ca !

--
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--qjNfmADvan18RZcF
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD4DBQFGSixwxJBTTnXAif4RAgl4AKCCLkXyRdCTuLuVjHHTWjRu9yrApQCWN+Zn
kXGfmScqNyD9H6kdkpXVow= Ue
-----END PGP SIGNATURE-----

--qjNfmADvan18RZcF--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Franck Joncourt
Le #9556301
--yEPQxsgoJgBvi8ip
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Tue, May 15, 2007 at 11:15:52PM +0200, Stephane Bortzmeyer wrote:
On Tue, May 15, 2007 at 11:11:25PM +0200,
Pascal Hambourg a message of 26 lines which said:

> Si je ne m'abuse, les SYN cookies ne protègent que contre les
> connexions "half-open" (pas de ACK en réponse au SYN-ACK).



Les syncookies c'est contre le SYN flood. On envoit encore et encore
des paquets avec le flag SYN afin de consommer des ressources sur le
server, et ainsi on ralentit le système, voire on empeche les nouvelles
connexions.

Hmmm, oui, en relisant le message originel, en effet.

> syncookies seriously violate TCP protocol,




A mon avis cela vient surtout du fait que l'utilisation des syncookies a
pour effet de faire transiter les informations relatives aux connexions
sur le reseau.
Il est ainsi possible de recuperer ces informations (je ne sais pas
comment), et d'ouvrir une nouvelle connexion avec un flag ACK et non
plus SYN.

--
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--yEPQxsgoJgBvi8ip
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFGSiv3xJBTTnXAif4RAhBTAJ9pP1AsWqw2CZtsSl0N+Jzc147quwCghrmg
cK4FSar6r/js02MIqP8xXW8 ¬ig
-----END PGP SIGNATURE-----

--yEPQxsgoJgBvi8ip--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme