Bonsoir =C3=A0 tous,
De petits rigolos s'amusent =C3=A0 ouvrir des connections TCP sur mon serve=
ur web sans envoyer de requ=C3=AAtes.
Donc, on a bien SYN/SYN-ACK/ACK mais rien derri=C3=A8re.
Le probl=C3=A8me et que j'ai une appli un peu lourde qui n=C3=A9cessite un =
timeout d'apache =C3=A0 25 minimum.
J'ai beau chercher, je ne trouve pas de syst=C3=A8me pour se prot=C3=A9ger =
de telles attaques et c'est pourquoi je m'en remets =C3=A0 vous.
Une id=C3=A9e ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Stephane Bortzmeyer
On Tue, May 15, 2007 at 06:47:53PM +0200, Jean-Baptiste FAVRE wrote a message of 13 lines which said:
Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière.
Les SYN cookies, sans hésiter.
"syncookies=yes" dans /etc/network/options et redémarrage (ou bien sysctl à la main).
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Tue, May 15, 2007 at 06:47:53PM +0200,
Jean-Baptiste FAVRE <jean-baptiste.favre@wanadoo.fr> wrote
a message of 13 lines which said:
Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière.
Les SYN cookies, sans hésiter.
"syncookies=yes" dans /etc/network/options et redémarrage (ou bien
sysctl à la main).
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Tue, May 15, 2007 at 06:47:53PM +0200, Jean-Baptiste FAVRE wrote a message of 13 lines which said:
Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière.
Les SYN cookies, sans hésiter.
"syncookies=yes" dans /etc/network/options et redémarrage (ou bien sysctl à la main).
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
On Tue, May 15, 2007 at 11:11:25PM +0200, Pascal Hambourg wrote a message of 26 lines which said:
Si je ne m'abuse, les SYN cookies ne protègent que contre les connexions "half-open" (pas de ACK en réponse au SYN-ACK).
Hmmm, oui, en relisant le message originel, en effet.
syncookies seriously violate TCP protocol,
C'est très discuté.
do not allow to use TCP extensions,
C'est exact. Qui utilise ces options ? Qui les a déjà vues dans un paquet réel ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Tue, May 15, 2007 at 11:11:25PM +0200,
Pascal Hambourg <pascal.mail@plouf.fr.eu.org> wrote
a message of 26 lines which said:
Si je ne m'abuse, les SYN cookies ne protègent que contre les
connexions "half-open" (pas de ACK en réponse au SYN-ACK).
Hmmm, oui, en relisant le message originel, en effet.
syncookies seriously violate TCP protocol,
C'est très discuté.
do not allow to use TCP extensions,
C'est exact. Qui utilise ces options ? Qui les a déjà vues dans un
paquet réel ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Tue, May 15, 2007 at 11:11:25PM +0200, Pascal Hambourg wrote a message of 26 lines which said:
Si je ne m'abuse, les SYN cookies ne protègent que contre les connexions "half-open" (pas de ACK en réponse au SYN-ACK).
Hmmm, oui, en relisant le message originel, en effet.
syncookies seriously violate TCP protocol,
C'est très discuté.
do not allow to use TCP extensions,
C'est exact. Qui utilise ces options ? Qui les a déjà vues dans un paquet réel ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Salut,
Stephane Bortzmeyer a écrit :
Jean-Baptiste FAVRE wrote :
Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière.
Les SYN cookies, sans hésiter.
Si je ne m'abuse, les SYN cookies ne protègent que contre les connexions "half-open" (pas de ACK en réponse au SYN-ACK). D'autre part, la documentation du noyau prévient qu'ils présentent de sérieux inconvénients :
syncookies seriously violate TCP protocol, do not allow to use TCP extensions, can result in serious degradation of some services (f.e. SMTP relaying), visible not by you, but your clients and relays, contacting you.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
Stephane Bortzmeyer a écrit :
Jean-Baptiste FAVRE <jean-baptiste.favre@wanadoo.fr> wrote :
Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière.
Les SYN cookies, sans hésiter.
Si je ne m'abuse, les SYN cookies ne protègent que contre les connexions
"half-open" (pas de ACK en réponse au SYN-ACK). D'autre part, la
documentation du noyau prévient qu'ils présentent de sérieux inconvénients :
syncookies seriously violate TCP protocol, do not allow
to use TCP extensions, can result in serious degradation
of some services (f.e. SMTP relaying), visible not by you,
but your clients and relays, contacting you.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière.
Les SYN cookies, sans hésiter.
Si je ne m'abuse, les SYN cookies ne protègent que contre les connexions "half-open" (pas de ACK en réponse au SYN-ACK). D'autre part, la documentation du noyau prévient qu'ils présentent de sérieux inconvénients :
syncookies seriously violate TCP protocol, do not allow to use TCP extensions, can result in serious degradation of some services (f.e. SMTP relaying), visible not by you, but your clients and relays, contacting you.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Stephane Bortzmeyer a écrit :
syncookies seriously violate TCP protocol,
C'est très discuté.
do not allow to use TCP extensions,
C'est exact. Qui utilise ces options ? Qui les a déjà vues dans un paquet réel ?
L'option MSS ? Tout le monde, non ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer a écrit :
syncookies seriously violate TCP protocol,
C'est très discuté.
do not allow to use TCP extensions,
C'est exact. Qui utilise ces options ? Qui les a déjà vues dans un
paquet réel ?
L'option MSS ? Tout le monde, non ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
C'est exact. Qui utilise ces options ? Qui les a déjà vues dans un paquet réel ?
L'option MSS ? Tout le monde, non ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jean Baptiste Favre
Les SYN-Cookies sont déjà activés, sans problèmes (effets de bord ) jusqu'à présent.
Merci quand même, JB
Stephane Bortzmeyer a écrit :
On Tue, May 15, 2007 at 11:11:25PM +0200, Pascal Hambourg wrote a message of 26 lines which said:
Si je ne m'abuse, les SYN cookies ne protègent que contre les connexions "half-open" (pas de ACK en réponse au SYN-ACK).
Hmmm, oui, en relisant le message originel, en effet.
syncookies seriously violate TCP protocol,
C'est très discuté.
do not allow to use TCP extensions,
C'est exact. Qui utilise ces options ? Qui les a déjà vues dans un paquet réel ?
Les SYN-Cookies sont déjà activés, sans problèmes (effets de bord )
jusqu'à présent.
Merci quand même,
JB
Stephane Bortzmeyer a écrit :
On Tue, May 15, 2007 at 11:11:25PM +0200,
Pascal Hambourg <pascal.mail@plouf.fr.eu.org> wrote
a message of 26 lines which said:
Si je ne m'abuse, les SYN cookies ne protègent que contre les
connexions "half-open" (pas de ACK en réponse au SYN-ACK).
Hmmm, oui, en relisant le message originel, en effet.
syncookies seriously violate TCP protocol,
C'est très discuté.
do not allow to use TCP extensions,
C'est exact. Qui utilise ces options ? Qui les a déjà vues dans un
paquet réel ?
Si je ne dis pas de betises, les syncookies cela permet simplement d'eviter de sauvegarder trop de ressources pour la gestion des nouvelles connexions, en renvoyant les informations necessaires à la mise en place des ces dernieres au client.
En plus de l'activation des syncookies, je pencherais aussi pour la mise en place de regles iptables utilisant la correspondance *recent* pour blacklister les clients au bout d'un certains temps (hitcount). Cela eviterait au serveur d'avoir a traiter les nouvelles connexions associees aux attaquants.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Si je ne dis pas de betises, les syncookies cela permet simplement
d'eviter de sauvegarder trop de ressources pour la gestion des
nouvelles connexions, en renvoyant les informations necessaires à la
mise en place des ces dernieres au client.
En plus de l'activation des syncookies, je pencherais aussi pour la mise
en place de regles iptables utilisant la correspondance *recent* pour
blacklister les clients au bout d'un certains temps (hitcount). Cela
eviterait au serveur d'avoir a traiter les nouvelles connexions
associees aux attaquants.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Si je ne dis pas de betises, les syncookies cela permet simplement d'eviter de sauvegarder trop de ressources pour la gestion des nouvelles connexions, en renvoyant les informations necessaires à la mise en place des ces dernieres au client.
En plus de l'activation des syncookies, je pencherais aussi pour la mise en place de regles iptables utilisant la correspondance *recent* pour blacklister les clients au bout d'un certains temps (hitcount). Cela eviterait au serveur d'avoir a traiter les nouvelles connexions associees aux attaquants.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Les syncookies c'est contre le SYN flood. On envoit encore et encore des paquets avec le flag SYN afin de consommer des ressources sur le server, et ainsi on ralentit le système, voire on empeche les nouvelles connexions.
Hmmm, oui, en relisant le message originel, en effet.
> syncookies seriously violate TCP protocol,
A mon avis cela vient surtout du fait que l'utilisation des syncookies a pour effet de faire transiter les informations relatives aux connexions sur le reseau. Il est ainsi possible de recuperer ces informations (je ne sais pas comment), et d'ouvrir une nouvelle connexion avec un flag ACK et non plus SYN.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Les syncookies c'est contre le SYN flood. On envoit encore et encore
des paquets avec le flag SYN afin de consommer des ressources sur le
server, et ainsi on ralentit le système, voire on empeche les nouvelles
connexions.
Hmmm, oui, en relisant le message originel, en effet.
> syncookies seriously violate TCP protocol,
A mon avis cela vient surtout du fait que l'utilisation des syncookies a
pour effet de faire transiter les informations relatives aux connexions
sur le reseau.
Il est ainsi possible de recuperer ces informations (je ne sais pas
comment), et d'ouvrir une nouvelle connexion avec un flag ACK et non
plus SYN.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Les syncookies c'est contre le SYN flood. On envoit encore et encore des paquets avec le flag SYN afin de consommer des ressources sur le server, et ainsi on ralentit le système, voire on empeche les nouvelles connexions.
Hmmm, oui, en relisant le message originel, en effet.
> syncookies seriously violate TCP protocol,
A mon avis cela vient surtout du fait que l'utilisation des syncookies a pour effet de faire transiter les informations relatives aux connexions sur le reseau. Il est ainsi possible de recuperer ces informations (je ne sais pas comment), et d'ouvrir une nouvelle connexion avec un flag ACK et non plus SYN.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
