Attaques par deni de service, politique.

Le
Rakotomandimby
Bonjour,
J'heberge mon peit site sur ma ligne ADSL (1024/265)
Je me posai une question sur le attaques par deni de service ( APDDS ), dont
je souhaiterai discuter avec vous .
Coté materiel, mon materiel est suffisant pour encaiser des APDDS.
Effectivement sur une ligne 1024 je pense que les limites de la ligne se
feront sentire bien avant les limites du matos.

Au sujet des limites de la ligne, un attaquant pourrai vouloi saturer la
ligne en me submergeant de requetes en tout genre et ainsi mettre a genou
le temps de reponse et ainsi rendre mon site inaccessible.

Premiere question : Je pense que si l'attaquant et seul et sur une ligne
ADSL lui aussi , il ne me fera pas beaucoup de mal, parceque son upload a
lui sera de l'ordre du 256kbs maximum et donc ma ligne encaisserai meme 4
gugus dans son genre sans broncher. Ai-je raison ?

Deuxieme question : Si je refuse les tentatives trop repetitives de
connections ( avec mon firewall , iptables) je peux les refuser de 2
façons: soit je les DROP (je n'y reponds meme pas) , soit je les REJECT
(j'y reponds, âr une reponse negative) . J'ai choisi de DROPer. Dans le cas
d'une APDDS est ce que j'ai avec cette politique reduit au minimum le
traffic sur ma ligne ? En d'autre termes, si je choisi de REJECTer est ce
que ça augmentera sensiblement le traffic ( et donc ira dans le sens de
l'APDDS ) ?

Merci d'avance de vos reponses
--
Rakotomandimby Mihamina Andrianifaharana
Tel : +33 2 38 76 43 65
http://stko.dyndns.info/site_principal/Members/mihamina
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
movierixheim
Le #54356
A mon avis il vaut mieux dropper.
Mais en hébergeant un petit site perso sur votre ligne vous avez peu de
chances de vous faire attaquer.

De plus une personne ne peut pas vous faire tomber. Effectivement, il sera
limité par son upload.
C'est pour ça que le virus blaster était "bien", puisque tous les pc
contaminés aurait du envoyé en même temps l'attaque...


"Rakotomandimby" news:c1urq3$d82$
Bonjour,
J'heberge mon peit site sur ma ligne ADSL (1024/265)
Je me posai une question sur le attaques par deni de service ( APDDS ),
dont

je souhaiterai discuter avec vous .
Coté materiel, mon materiel est suffisant pour encaiser des APDDS.
Effectivement sur une ligne 1024 je pense que les limites de la ligne se
feront sentire bien avant les limites du matos.

Au sujet des limites de la ligne, un attaquant pourrai vouloi saturer la
ligne en me submergeant de requetes en tout genre et ainsi mettre a genou
le temps de reponse et ainsi rendre mon site inaccessible.

Premiere question : Je pense que si l'attaquant et seul et sur une ligne
ADSL lui aussi , il ne me fera pas beaucoup de mal, parceque son upload a
lui sera de l'ordre du 256kbs maximum et donc ma ligne encaisserai meme 4
gugus dans son genre sans broncher. Ai-je raison ?

Deuxieme question : Si je refuse les tentatives trop repetitives de
connections ( avec mon firewall , iptables) je peux les refuser de 2
façons: soit je les DROP (je n'y reponds meme pas) , soit je les REJECT
(j'y reponds, âr une reponse negative) . J'ai choisi de DROPer. Dans le
cas

d'une APDDS est ce que j'ai avec cette politique reduit au minimum le
traffic sur ma ligne ? En d'autre termes, si je choisi de REJECTer est ce
que ça augmentera sensiblement le traffic ( et donc ira dans le sens de
l'APDDS ) ?

Merci d'avance de vos reponses
--
Rakotomandimby Mihamina Andrianifaharana
Tel : +33 2 38 76 43 65
http://stko.dyndns.info/site_principal/Members/mihamina


Rakotomandimby
Le #54354
movierixheim wrote:

A mon avis il vaut mieux dropper.
Mais en hébergeant un petit site perso sur votre ligne vous avez peu de
chances de vous faire attaquer.


Si. C'est dans le cadre d'un concours entre "potes" ... docn c'est a celui
qui aura le site perso le plus dispo possible ... :-)
C'est pueril je sais mais bon on se marre comme on peut ...

De plus une personne ne peut pas vous faire tomber. Effectivement, il sera
limité par son upload.


Bon ben je suis a l'abri ...content d ele savoir mais dommage quand meme ...
J'ai fait des regles iptables aux petits oigons expres pourattendre de pieds
ferme ... bon aller , c'est pas grave ... :-)

Merci pour ta reponse en tout cas :-)
--
Rakotomandimby Mihamina Andrianifaharana
Tel : +33 2 38 76 43 65
http://stko.dyndns.info/site_principal/Members/mihamina

Gregory LEBRAS
Le #53972
On 01 Mar 2004 10:00:50 GMT, Rakotomandimby
Bonjour,


Salut,

Premiere question : Je pense que si l'attaquant et seul et sur une ligne
ADSL lui aussi , il ne me fera pas beaucoup de mal, parceque son upload a
lui sera de l'ordre du 256kbs maximum et donc ma ligne encaisserai meme 4
gugus dans son genre sans broncher. Ai-je raison ?


Oui je pense que tu as raison, cependant si le gugus lance une attaque
de DDoS [1], la ligne risque de saturer rapidement...

Deuxieme question : Si je refuse les tentatives trop repetitives de
connections ( avec mon firewall , iptables) je peux les refuser de 2
façons: soit je les DROP (je n'y reponds meme pas) , soit je les REJECT
(j'y reponds, âr une reponse negative) . J'ai choisi de DROPer. Dans le cas
d'une APDDS est ce que j'ai avec cette politique reduit au minimum le
traffic sur ma ligne ? En d'autre termes, si je choisi de REJECTer est ce
que ça augmentera sensiblement le traffic ( et donc ira dans le sens de
l'APDDS ) ?


Je pense qu'il est préférable de DROPer au lieu de REJECTer... A moins
que tu puisses REJECTer qu'une seule fois afin d'avertir
l'utilisateur... A ce moment la il ne recevra la réponse négative
qu'une seule fois et ainsi ne saturera pas le réseau... En revanche,
si il SPOOF [2] les paquets envoyés, le fait d'utiliser REJECT
t'exposera à des risques...Bref, le choix est tout vu (à mon avis :-])

[1] Attaques DoS rendues possibles par la mise en commun de plusieurs
machines "piratées" à cet effet. L'attaquant peut alors par
l'intermédiaire de plusieurs machines, lancer une attaque de masse sur
une cible : c'est le déni de service distribué. (DDoS)

[2] Le spoofing consiste en la modification de l’adresse de l’émetteur
d’un paquet pour faire croire qu’il provient d’une autre machine.

Bien que n'étant pas un expert en la matière j'espère avoir répondu
clairement (et si possible justement) à tes questions :-)

Cordialement,

---
Grégory LEBRAS

Didier
Le #52842

On 01 Mar 2004 10:00:50 GMT, Rakotomandimby

Bonjour,



Salut,


Premiere question : Je pense que si l'attaquant et seul et sur une ligne
ADSL lui aussi , il ne me fera pas beaucoup de mal, parceque son upload a
lui sera de l'ordre du 256kbs maximum et donc ma ligne encaisserai meme 4
gugus dans son genre sans broncher. Ai-je raison ?



Oui je pense que tu as raison, cependant si le gugus lance une attaque
de DDoS [1], la ligne risque de saturer rapidement...


Deuxieme question : Si je refuse les tentatives trop repetitives de
connections ( avec mon firewall , iptables) je peux les refuser de 2
façons: soit je les DROP (je n'y reponds meme pas) , soit je les REJECT
(j'y reponds, âr une reponse negative) . J'ai choisi de DROPer. Dans le cas
d'une APDDS est ce que j'ai avec cette politique reduit au minimum le
traffic sur ma ligne ? En d'autre termes, si je choisi de REJECTer est ce
que ça augmentera sensiblement le traffic ( et donc ira dans le sens de
l'APDDS ) ?



Je pense qu'il est préférable de DROPer au lieu de REJECTer... A moins
que tu puisses REJECTer qu'une seule fois afin d'avertir
l'utilisateur... A ce moment la il ne recevra la réponse négative
qu'une seule fois et ainsi ne saturera pas le réseau... En revanche,
si il SPOOF [2] les paquets envoyés, le fait d'utiliser REJECT
t'exposera à des risques...Bref, le choix est tout vu (à mon avis :-])

[1] Attaques DoS rendues possibles par la mise en commun de plusieurs
machines "piratées" à cet effet. L'attaquant peut alors par
l'intermédiaire de plusieurs machines, lancer une attaque de masse sur
une cible : c'est le déni de service distribué. (DDoS)

[2] Le spoofing consiste en la modification de l?adresse de l?émetteur
d?un paquet pour faire croire qu?il provient d?une autre machine.

Bien que n'étant pas un expert en la matière j'espère avoir répondu
clairement (et si possible justement) à tes questions :-)

Cordialement,

---
Grégory LEBRAS
Bien le petit lexique à la fin; c'est classe et très agréable. Merci.

Didier.


Publicité
Poster une réponse
Anonyme