Re: Protection contre un DDOS tcp open
Le
Jean-Baptiste FAVRE
Salut,
En fait, déjà envisagé mais, j'aurais dû le précis=
er dans mon premier mail désolé, une dizaine de milliers d'IP (he=
ureusement pas simultanées) provenant d'une 30aine de pays différ=
ents
Un peu dur à gérer :-)
Merci quand même
JB
> Message du 15/05/07 18:52
> De : "Benjamin RIOU" <pandolphe@pandolphe-vision.net>
> A : "Jean-Baptiste FAVRE" <jean-baptiste.favre@wanadoo.fr>
> Copie à :
> Objet : Re: Protection contre un DDOS tcp open
>
> Salut !
>
> Que penses tu de limiter le nombre connexion par IP avec connlimit (si
> les attaques sont issues d'un sous réseau IP défini) ou bien av=
ec le
> module recent d'iptables ?
>
> ++
> Ben
>
>
En fait, déjà envisagé mais, j'aurais dû le précis=
er dans mon premier mail désolé, une dizaine de milliers d'IP (he=
ureusement pas simultanées) provenant d'une 30aine de pays différ=
ents
Un peu dur à gérer :-)
Merci quand même
JB
> Message du 15/05/07 18:52
> De : "Benjamin RIOU" <pandolphe@pandolphe-vision.net>
> A : "Jean-Baptiste FAVRE" <jean-baptiste.favre@wanadoo.fr>
> Copie à :
> Objet : Re: Protection contre un DDOS tcp open
>
> Salut !
>
> Que penses tu de limiter le nombre connexion par IP avec connlimit (si
> les attaques sont issues d'un sous réseau IP défini) ou bien av=
ec le
> module recent d'iptables ?
>
> ++
> Ben
>
>
Poser une question
Oui, mais tu peux peut être empecher plus de X connexions TCP
simultanées pour chaque IP (voir le module recent d'iptables).
Genre IP peut pas ouvrir plus de 3 connexions tcp avec ton serveur.
Ou sinon, un filtrage de couche 7 est-il envisageable ? (on fait cela
contre le p2p déjà)
Une question que je me pose : pourquoi tant de haine envers ton serveur ? : -)
++
Ben
Benjamin RIOU a message of 24 lines which said:
connlimit
Voir par exemple http://www.gecko26.com/blog/connlimit_sarge
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Netfilter Recent: pourquoi pas mais il faudrait alors que je marque les
connexions ouvertes et que je guette le paquet suivant dans une fenêtre
de temps définie. Reste qu'Apache prendra quand même la connexion
(puisqu'ouverte), et la fenêtre de temps pourrait bien rendre le timeou t
d'Apache "obsolète".
Connlimit: j'y ai pensé aussi mais il y a rarement plus de 2-3
connexions simultanées depuis la même IP. En fait, le problème est
qu'Apache attend sagement le timeout (et je ne peux pas le baisser,
cause l'appli PHP qui tourne... je sais, faut refaire l'appli, mais là,
je ne peux pas faire grand'chose.). Dans finalement, je ne suis pas
certain de l'efficacité de la mesure. Mais je vais recreuser l'affaire.
Pourquoi tant de haine: ben, j'aimerais bien que le "proprio" du botnet
me le dise :-s Plus sérieusement, soit je suis un dégât collatéra l, soit
il se trompe d'IP.
J'vais p'tre creuser un mix des 2 solutions Netfilter. Je vous tiens au
courant.
Merci pour les réponses,
JB
Stephane Bortzmeyer a écrit :
J'avais oublié le filtrage de couche 7:
Vu qu'aucune requête HTTP ne parvient au serveur, je risque d'avoir un
peu de mal :-)
Le fond du problème est donc bien de détecter qu'une connexion TCP
légitime au sens TCP du terme ne l'est plus au niveau applicatif car
aucune requête HTTP n'est envoyée dans un délai à définir (AMHA
inférieur à 5 secondes en étant généreux).
Et mes connaissances en iptables sont ici trop limitées :-(
@+
JB
Benjamin RIOU a écrit :
Jean Baptiste Favre
Ces connexions peuvent se faire à l'aveugle non (i.e sans avoir la réponse, on
envoit un paquet «SYN» et on se moque du «ACK» qui revient. Il y a donc de
grande chances que l'IP d'origine soit fausse.
En fait je viens de tester sur mon serveur et une ligne comme
# hping2 -S -p 80 --rand-source <IP_de_ton_serveur>
suffit à faire ce genre de choses. Effectivement, le serveur accumule les
douilles (sockets) en ouverture, envoit des ACK un peu partout et reste avec
ses connexions ouvertes comme un crétin.
J'ignore si il y a un moyen de retrouver l'origine sans doute unique de ces
paquets.
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact