Tout d'abord bonjour à tous, et merci par avance du temps que vous voudrez
bien m'accorder.
Je me permet de poster ici pour demander de l'aide pour l'ajout à un script
IPtable des règles permetraient d'ajouter les lamers dans une liste noire
pendant une minute après leur dernière tentative (le script dans son état
actuel est disponible ici http://82.67.45.113/iptables.sh, merci de ne pas
lire les commentaires -_^).
J'ai déjà des règles pour repèrer certains comportements suspects (les
paquets invalides etc), les logger, les rejetter... tout ce qui manque pour
mettre en oeuvre le bousin est la possibilité de se protèger contre l'IP
spoofing (éviter que quelqu'un ne blacklist l'IP d'un autre).
Pour cela, je comptais utiliser "conntrack --ctstatus" pour vérifier que
j'avais déjà reçu des réponses sur cette connection, et que donc elle
n'était pas falsifiée (et si je n'ai pas de certitude simplement rejeter le
paquet).
Le problème est que les états internes de conntrack sont très mal documentés
(ou du moins je ne suis pas pervenu à trouver de doc à leur propos).
Je me demandais donc si quelqu'un de plus compètent que moi aurais la
gentillesse de m'aider à résoudre ce problème, en m'indiquant ou trouver la
documentation apropriée (rien trouvé par google), voir en me donnant son
avis sur les méthodes que je compte employer.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Michel Arboi
On Wed Jun 30 2004 at 22:04, Arnould Brice wrote:
mettre en oeuvre le bousin est la possibilité de se protèger contre l'IP spoofing (éviter que quelqu'un ne blacklist l'IP d'un autre).
Je crains que ça soit quasiment impossible.
Pourquoi veux-tu absolument blacklister des pabos ? Pour éviter de charger tes logs ?
http://www.mynetwatchman.com/ t'envoie des IP blacklistées, et tu peux les rejeter automatiquement. Ce sont en général des vers, ou des zigotos qui scannent toute la planète -- mynetwatchman attend des alertes de plusieurs agents avant de couiner contre une IP.
Je n'ai jamais osé mettre ça en place, mais si tu veux tester, un retour d'expérience peut intéresser du monde ici.
-- http://arboi.da.ru FAQNOPI de fr.comp.securite http://faqnopi.da.ru/
On Wed Jun 30 2004 at 22:04, Arnould Brice wrote:
mettre en oeuvre le bousin est la possibilité de se protèger contre l'IP
spoofing (éviter que quelqu'un ne blacklist l'IP d'un autre).
Je crains que ça soit quasiment impossible.
Pourquoi veux-tu absolument blacklister des pabos ? Pour éviter de
charger tes logs ?
http://www.mynetwatchman.com/ t'envoie des IP blacklistées, et tu peux
les rejeter automatiquement. Ce sont en général des vers, ou des
zigotos qui scannent toute la planète -- mynetwatchman attend des
alertes de plusieurs agents avant de couiner contre une IP.
Je n'ai jamais osé mettre ça en place, mais si tu veux tester, un
retour d'expérience peut intéresser du monde ici.
--
arboi@alussinan.org http://arboi.da.ru
FAQNOPI de fr.comp.securite http://faqnopi.da.ru/
mettre en oeuvre le bousin est la possibilité de se protèger contre l'IP spoofing (éviter que quelqu'un ne blacklist l'IP d'un autre).
Je crains que ça soit quasiment impossible.
Pourquoi veux-tu absolument blacklister des pabos ? Pour éviter de charger tes logs ?
http://www.mynetwatchman.com/ t'envoie des IP blacklistées, et tu peux les rejeter automatiquement. Ce sont en général des vers, ou des zigotos qui scannent toute la planète -- mynetwatchman attend des alertes de plusieurs agents avant de couiner contre une IP.
Je n'ai jamais osé mettre ça en place, mais si tu veux tester, un retour d'expérience peut intéresser du monde ici.
-- http://arboi.da.ru FAQNOPI de fr.comp.securite http://faqnopi.da.ru/
Arnould Brice
Michel Arboi wrote:
On Wed Jun 30 2004 at 22:04, Arnould Brice wrote:
mettre en oeuvre le bousin est la possibilité de se protèger contre l'IP spoofing (éviter que quelqu'un ne blacklist l'IP d'un autre).
Je crains que ça soit quasiment impossible. C'est pourtant l'usage que l'auteur du patch propose sur son site
(http://snowman.net/projects/ipt_recent/)... mais il n'a pas pensé aux dos lol
Pourquoi veux-tu absolument blacklister des pabos ? Pour éviter de charger tes logs ? Exactement, et aussi pour faire échouer les scans de ports (mais surtout
parce que ça me paraissait possible, donc indispendable -_^).
Pour faire échouer les scans j'avait déjà entendu parler de "TARPIT", mais je crois que cette cible force le noyau à garder longtemps la trace de la connection, d'où un risque de dos.
http://www.mynetwatchman.com/ t'envoie des IP blacklistées, et tu peux les rejeter automatiquement. Ce sont en général des vers, ou des zigotos qui scannent toute la planète -- mynetwatchman attend des alertes de plusieurs agents avant de couiner contre une IP.
Je n'ai jamais osé mettre ça en place, mais si tu veux tester, un retour d'expérience peut intéresser du monde ici. Mouais.. je reste dubitatif: déjà à cause la page qui parle de la "faille
winpopup" (http://www.mynetwatchman.com/kb/winpopup.asp), mais surtout à cause des buts du projet (recenser la manière dont les vers se répendant aux états unis ?), de la licence de la base de donnée... et surtout du fait que je ne vois pas comment l'utiliser de manière efficace (bloquer toutes les IPs dans la liste ? trop énorme. bloquer une partie ? encore moins sûr)
-> Je vais déjà essayer de limiter le nombre d'occurence de chaque IP dans mes logs, et chercher un autre moyen de détecter les scans de ports (j'ai peut être une idée, si elle marche je la posterais ici).
Merci beaucoup pour ton aide ! Brice
Michel Arboi wrote:
On Wed Jun 30 2004 at 22:04, Arnould Brice wrote:
mettre en oeuvre le bousin est la possibilité de se protèger contre l'IP
spoofing (éviter que quelqu'un ne blacklist l'IP d'un autre).
Je crains que ça soit quasiment impossible.
C'est pourtant l'usage que l'auteur du patch propose sur son site
(http://snowman.net/projects/ipt_recent/)... mais il n'a pas pensé aux dos
lol
Pourquoi veux-tu absolument blacklister des pabos ? Pour éviter de
charger tes logs ?
Exactement, et aussi pour faire échouer les scans de ports (mais surtout
parce que ça me paraissait possible, donc indispendable -_^).
Pour faire échouer les scans j'avait déjà entendu parler de "TARPIT", mais
je crois que cette cible force le noyau à garder longtemps la trace de la
connection, d'où un risque de dos.
http://www.mynetwatchman.com/ t'envoie des IP blacklistées, et tu peux
les rejeter automatiquement. Ce sont en général des vers, ou des
zigotos qui scannent toute la planète -- mynetwatchman attend des
alertes de plusieurs agents avant de couiner contre une IP.
Je n'ai jamais osé mettre ça en place, mais si tu veux tester, un
retour d'expérience peut intéresser du monde ici.
Mouais.. je reste dubitatif: déjà à cause la page qui parle de la "faille
winpopup" (http://www.mynetwatchman.com/kb/winpopup.asp), mais surtout à
cause des buts du projet (recenser la manière dont les vers se répendant
aux états unis ?), de la licence de la base de donnée... et surtout du fait
que je ne vois pas comment l'utiliser de manière efficace (bloquer toutes
les IPs dans la liste ? trop énorme. bloquer une partie ? encore moins sûr)
-> Je vais déjà essayer de limiter le nombre d'occurence de chaque IP dans
mes logs, et chercher un autre moyen de détecter les scans de ports (j'ai
peut être une idée, si elle marche je la posterais ici).
mettre en oeuvre le bousin est la possibilité de se protèger contre l'IP spoofing (éviter que quelqu'un ne blacklist l'IP d'un autre).
Je crains que ça soit quasiment impossible. C'est pourtant l'usage que l'auteur du patch propose sur son site
(http://snowman.net/projects/ipt_recent/)... mais il n'a pas pensé aux dos lol
Pourquoi veux-tu absolument blacklister des pabos ? Pour éviter de charger tes logs ? Exactement, et aussi pour faire échouer les scans de ports (mais surtout
parce que ça me paraissait possible, donc indispendable -_^).
Pour faire échouer les scans j'avait déjà entendu parler de "TARPIT", mais je crois que cette cible force le noyau à garder longtemps la trace de la connection, d'où un risque de dos.
http://www.mynetwatchman.com/ t'envoie des IP blacklistées, et tu peux les rejeter automatiquement. Ce sont en général des vers, ou des zigotos qui scannent toute la planète -- mynetwatchman attend des alertes de plusieurs agents avant de couiner contre une IP.
Je n'ai jamais osé mettre ça en place, mais si tu veux tester, un retour d'expérience peut intéresser du monde ici. Mouais.. je reste dubitatif: déjà à cause la page qui parle de la "faille
winpopup" (http://www.mynetwatchman.com/kb/winpopup.asp), mais surtout à cause des buts du projet (recenser la manière dont les vers se répendant aux états unis ?), de la licence de la base de donnée... et surtout du fait que je ne vois pas comment l'utiliser de manière efficace (bloquer toutes les IPs dans la liste ? trop énorme. bloquer une partie ? encore moins sûr)
-> Je vais déjà essayer de limiter le nombre d'occurence de chaque IP dans mes logs, et chercher un autre moyen de détecter les scans de ports (j'ai peut être une idée, si elle marche je la posterais ici).
