Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien
compris la façon dont ça se passe et pourquoi ça décourage l'attaquant.
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien
compris la façon dont ça se passe et pourquoi ça décourage l'attaquant.
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien
compris la façon dont ça se passe et pourquoi ça décourage l'attaquant.
Philippe Gras a écrit :Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une machine
sur cette adresse. Il réessaye jusqu'à ce que quelqu'un lui
réponde. Avec un REJECT, tu dis immédiatement merdre à l'attaquant
et il passe à autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu protégée,
ils passent à une autre.
Cordialement,
JKB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une machine
sur cette adresse. Il réessaye jusqu'à ce que quelqu'un lui
réponde. Avec un REJECT, tu dis immédiatement merdre à l'attaquant
et il passe à autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu protégée,
ils passent à une autre.
Cordialement,
JKB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54DF9C4F.5040408@systella.fr
Philippe Gras a écrit :Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une machine
sur cette adresse. Il réessaye jusqu'à ce que quelqu'un lui
réponde. Avec un REJECT, tu dis immédiatement merdre à l'attaquant
et il passe à autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu protégée,
ils passent à une autre.
Cordialement,
JKB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :Philippe Gras a écrit :Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une machine sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu protégée, ils
passent à une autre.
Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu… repasseras
;-)
OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une machine sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu protégée, ils
passent à une autre.
Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu… repasseras
;-)
OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :Philippe Gras a écrit :Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une machine sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu protégée, ils
passent à une autre.
Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu… repasseras
;-)
Philippe Gras a écrit :OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :Philippe Gras a écrit :Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une
machine sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde.
Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu
protégée, ils
passent à une autre.
Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu
repasseras
;-)
La boîte noire n'est jamais une solution quand on parle de sécurité.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Philippe Gras a écrit :
OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une
machine sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde.
Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu
protégée, ils
passent à une autre.
Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu
repasseras
;-)
La boîte noire n'est jamais une solution quand on parle de sécurité.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54DFA6EC.6060606@systella.fr
Philippe Gras a écrit :OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :Philippe Gras a écrit :Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une
machine sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde.
Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu
protégée, ils
passent à une autre.
Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu
repasseras
;-)
La boîte noire n'est jamais une solution quand on parle de sécurité.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :Philippe Gras a écrit :OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :Philippe Gras a écrit :Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une machine sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu protégée, ils
passent à une autre.
Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu… repasseras
;-)
La boîte noire n'est jamais une solution quand on parle de sécurité.
La boîte noire ? Que veux-tu dire par-là ?
Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :
Philippe Gras a écrit :
OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une machine sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu protégée, ils
passent à une autre.
Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu… repasseras
;-)
La boîte noire n'est jamais une solution quand on parle de sécurité.
La boîte noire ? Que veux-tu dire par-là ?
Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :Philippe Gras a écrit :OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :Philippe Gras a écrit :Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une machine sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu protégée, ils
passent à une autre.
Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu… repasseras
;-)
La boîte noire n'est jamais une solution quand on parle de sécurité.
La boîte noire ? Que veux-tu dire par-là ?
Philippe Gras a écrit :
Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :Philippe Gras a écrit :OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :Philippe Gras a écrit :Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas
si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une
machine sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui
réponde. Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu
protégée, ils
passent à une autre.
Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu
repasseras
;-)
La boîte noire n'est jamais une solution quand on parle de
sécurité.
La boîte noire ? Que veux-tu dire par-là ?
Que faire croire qu'il n'y a aucune machine qui répond sur cette
adresse IP n'est pas la solution. Rejeter le paquet signifie "j'ai
bien vu ta tentative et je t'emmerde".
JKB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Philippe Gras a écrit :
Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :
Philippe Gras a écrit :
OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas
si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une
machine sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui
réponde. Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu
protégée, ils
passent à une autre.
Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu
repasseras
;-)
La boîte noire n'est jamais une solution quand on parle de
sécurité.
La boîte noire ? Que veux-tu dire par-là ?
Que faire croire qu'il n'y a aucune machine qui répond sur cette
adresse IP n'est pas la solution. Rejeter le paquet signifie "j'ai
bien vu ta tentative et je t'emmerde".
JKB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54E07E23.70008@systella.fr
Philippe Gras a écrit :
Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :Philippe Gras a écrit :OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :Philippe Gras a écrit :Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas
si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une
machine sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui
réponde. Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu
protégée, ils
passent à une autre.
Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu
repasseras
;-)
La boîte noire n'est jamais une solution quand on parle de
sécurité.
La boîte noire ? Que veux-tu dire par-là ?
Que faire croire qu'il n'y a aucune machine qui répond sur cette
adresse IP n'est pas la solution. Rejeter le paquet signifie "j'ai
bien vu ta tentative et je t'emmerde".
JKB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Je reçois plein de pourriels de chez OVH en ce moment, et je
sais qu'en les dénonçant, ils vont cesser leur petit jeu débile.
Je reçois plein de pourriels de chez OVH en ce moment, et je
sais qu'en les dénonçant, ils vont cesser leur petit jeu débile.
Je reçois plein de pourriels de chez OVH en ce moment, et je
sais qu'en les dénonçant, ils vont cesser leur petit jeu débile.
Le 15 févr. 15 à 12:08, BERTRAND Joël a écrit :
>Philippe Gras a écrit :
>>
>>Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :
>>
>>>Philippe Gras a écrit :
>>>>OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
>>>>
>>>>Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
>>>>
>>>>>Philippe Gras a écrit :
>>>>>>Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
>>>>>>très bien
>>>>>>compris la façon dont ça se passe et pourquoi ça décourage
>>>>>>l'attaquant.
>>>>>
>>>>> Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si
>>>>>le
>>>>>port est ouvert (et saturé) ou fermé, ou s'il y a même une machine
>>>>>sur
>>>>>cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde.
>>>>>Avec
>>>>>un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
>>>>>autre chose.
>>>>>
>>>>> Cela fonctionne pour l'instant parce que les réseaux zombie
>>>>>veulent passer inaperçus. Donc si une machine est un peu protégée,
>>>>>ils
>>>>>passent à une autre.
>>>>
>>>>Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu…
>>>>repasseras
>>>>;-)
>>>
>>> La boîte noire n'est jamais une solution quand on parle de
>>>sécurité.
>>
>>La boîte noire ? Que veux-tu dire par-là ?
>
> Que faire croire qu'il n'y a aucune machine qui répond sur cette adresse
>IP n'est pas la solution. Rejeter le paquet signifie "j'ai bien vu ta
>tentative et je t'emmerde".
Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des
réclamations abuse
dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas trouvé
comment faire.
Quand elles aboutissent chez des gens sérieux perchant dans des pays
sérieux, l'effet
rafraîchissant est garanti. Je reçois plein de pourriels de chez OVH en ce
moment, et je
sais qu'en les dénonçant, ils vont cesser leur petit jeu débile.
Les mecs ont déjà usé 3 IP pour me faire ch… et je suppose qu'ils en ont
d'autres. Si je
pouvais leur faire suspendre leur abonnement, ça me ferait bien plaisir :-).
Le 15 févr. 15 à 12:08, BERTRAND Joël a écrit :
>Philippe Gras a écrit :
>>
>>Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :
>>
>>>Philippe Gras a écrit :
>>>>OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
>>>>
>>>>Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
>>>>
>>>>>Philippe Gras a écrit :
>>>>>>Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
>>>>>>très bien
>>>>>>compris la façon dont ça se passe et pourquoi ça décourage
>>>>>>l'attaquant.
>>>>>
>>>>> Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si
>>>>>le
>>>>>port est ouvert (et saturé) ou fermé, ou s'il y a même une machine
>>>>>sur
>>>>>cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde.
>>>>>Avec
>>>>>un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
>>>>>autre chose.
>>>>>
>>>>> Cela fonctionne pour l'instant parce que les réseaux zombie
>>>>>veulent passer inaperçus. Donc si une machine est un peu protégée,
>>>>>ils
>>>>>passent à une autre.
>>>>
>>>>Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu…
>>>>repasseras
>>>>;-)
>>>
>>> La boîte noire n'est jamais une solution quand on parle de
>>>sécurité.
>>
>>La boîte noire ? Que veux-tu dire par-là ?
>
> Que faire croire qu'il n'y a aucune machine qui répond sur cette adresse
>IP n'est pas la solution. Rejeter le paquet signifie "j'ai bien vu ta
>tentative et je t'emmerde".
Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des
réclamations abuse
dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas trouvé
comment faire.
Quand elles aboutissent chez des gens sérieux perchant dans des pays
sérieux, l'effet
rafraîchissant est garanti. Je reçois plein de pourriels de chez OVH en ce
moment, et je
sais qu'en les dénonçant, ils vont cesser leur petit jeu débile.
Les mecs ont déjà usé 3 IP pour me faire ch… et je suppose qu'ils en ont
d'autres. Si je
pouvais leur faire suspendre leur abonnement, ça me ferait bien plaisir :-).
Le 15 févr. 15 à 12:08, BERTRAND Joël a écrit :
>Philippe Gras a écrit :
>>
>>Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :
>>
>>>Philippe Gras a écrit :
>>>>OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
>>>>
>>>>Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
>>>>
>>>>>Philippe Gras a écrit :
>>>>>>Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
>>>>>>très bien
>>>>>>compris la façon dont ça se passe et pourquoi ça décourage
>>>>>>l'attaquant.
>>>>>
>>>>> Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si
>>>>>le
>>>>>port est ouvert (et saturé) ou fermé, ou s'il y a même une machine
>>>>>sur
>>>>>cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde.
>>>>>Avec
>>>>>un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
>>>>>autre chose.
>>>>>
>>>>> Cela fonctionne pour l'instant parce que les réseaux zombie
>>>>>veulent passer inaperçus. Donc si une machine est un peu protégée,
>>>>>ils
>>>>>passent à une autre.
>>>>
>>>>Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu…
>>>>repasseras
>>>>;-)
>>>
>>> La boîte noire n'est jamais une solution quand on parle de
>>>sécurité.
>>
>>La boîte noire ? Que veux-tu dire par-là ?
>
> Que faire croire qu'il n'y a aucune machine qui répond sur cette adresse
>IP n'est pas la solution. Rejeter le paquet signifie "j'ai bien vu ta
>tentative et je t'emmerde".
Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des
réclamations abuse
dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas trouvé
comment faire.
Quand elles aboutissent chez des gens sérieux perchant dans des pays
sérieux, l'effet
rafraîchissant est garanti. Je reçois plein de pourriels de chez OVH en ce
moment, et je
sais qu'en les dénonçant, ils vont cesser leur petit jeu débile.
Les mecs ont déjà usé 3 IP pour me faire ch… et je suppose qu'ils en ont
d'autres. Si je
pouvais leur faire suspendre leur abonnement, ça me ferait bien plaisir :-).
On 2015-02-15 12:22:34 +0100, Philippe Gras wrote:Le 15 févr. 15 à 12:08, BERTRAND Joël a écrit :Philippe Gras a écrit :
Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :Philippe Gras a écrit :OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :Philippe Gras a écrit :Apparemment, ça a l'air super efficace :-) Par contre je
n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si
le
port est ouvert (et saturé) ou fermé, ou s'il y a même une
machine
sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde.
Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il
passe à
autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu
protégée,
ils
passent à une autre.
Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu
repasseras
;-)
La boîte noire n'est jamais une solution quand on parle de
sécurité.
La boîte noire ? Que veux-tu dire par-là ?
Que faire croire qu'il n'y a aucune machine qui répond sur cette
adresse
IP n'est pas la solution. Rejeter le paquet signifie "j'ai bien
vu ta
tentative et je t'emmerde".
D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre
son temps à faire des requêtes qui n'aboutiront pas. Mais...
Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des
réclamations abuse
dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas
trouvé
comment faire.
un abuse serait peut-être mieux. Ceci dit, je ne sais pas si
les principaux FAI concernés (en général chinois) prendraient
des mesures. Pour info, j'ai ceci dans mon /etc/hosts.deny:
# Permanent SSH ban due to many attempts (according to fail2ban)
# CHINANET-ZJ-HU (CN)
sshd: 61.174.48.0/21
# HEETHAI-HK (CN)
sshd: 103.41.124.0/24
# CHINANET-ZJ-SX (CN)
sshd: 115.231.216.0/21
# CHINANET-ZJ-HU (CN)
sshd: 122.225.96.0/19
# CHINANET-JS (CN)
sshd: 218.2.0.0/16
# UNICOM-JL (CN)
sshd: 222.160.0.0/14Quand elles aboutissent chez des gens sérieux perchant dans des pays
sérieux, l'effet
rafraîchissant est garanti. Je reçois plein de pourriels de chez
OVH en ce
moment, et je
sais qu'en les dénonçant, ils vont cesser leur petit jeu débile.
Les mecs ont déjà usé 3 IP pour me faire ch et je suppose qu'ils
en ont
d'autres. Si je
J'ai déjà blacklisté plus de 500 adresses IP de chez OVH (toutes
provenant de sous-réseaux propageant le même modèle de spam: quand
j'en vois un, je me dis que ça vient de chez OVH, et effectivement).pouvais leur faire suspendre leur abonnement, ça me ferait bien
plaisir :-).
Ce n'est pas ça qui va gêner les spammeurs. Tant qu'il n'y a pas de
grosse conséquence financière...
--
Vincent Lefèvre - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/
blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
On 2015-02-15 12:22:34 +0100, Philippe Gras wrote:
Le 15 févr. 15 à 12:08, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :
Philippe Gras a écrit :
OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je
n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si
le
port est ouvert (et saturé) ou fermé, ou s'il y a même une
machine
sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde.
Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il
passe à
autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu
protégée,
ils
passent à une autre.
Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu
repasseras
;-)
La boîte noire n'est jamais une solution quand on parle de
sécurité.
La boîte noire ? Que veux-tu dire par-là ?
Que faire croire qu'il n'y a aucune machine qui répond sur cette
adresse
IP n'est pas la solution. Rejeter le paquet signifie "j'ai bien
vu ta
tentative et je t'emmerde".
D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre
son temps à faire des requêtes qui n'aboutiront pas. Mais...
Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des
réclamations abuse
dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas
trouvé
comment faire.
un abuse serait peut-être mieux. Ceci dit, je ne sais pas si
les principaux FAI concernés (en général chinois) prendraient
des mesures. Pour info, j'ai ceci dans mon /etc/hosts.deny:
# Permanent SSH ban due to many attempts (according to fail2ban)
# CHINANET-ZJ-HU (CN)
sshd: 61.174.48.0/21
# HEETHAI-HK (CN)
sshd: 103.41.124.0/24
# CHINANET-ZJ-SX (CN)
sshd: 115.231.216.0/21
# CHINANET-ZJ-HU (CN)
sshd: 122.225.96.0/19
# CHINANET-JS (CN)
sshd: 218.2.0.0/16
# UNICOM-JL (CN)
sshd: 222.160.0.0/14
Quand elles aboutissent chez des gens sérieux perchant dans des pays
sérieux, l'effet
rafraîchissant est garanti. Je reçois plein de pourriels de chez
OVH en ce
moment, et je
sais qu'en les dénonçant, ils vont cesser leur petit jeu débile.
Les mecs ont déjà usé 3 IP pour me faire ch et je suppose qu'ils
en ont
d'autres. Si je
J'ai déjà blacklisté plus de 500 adresses IP de chez OVH (toutes
provenant de sous-réseaux propageant le même modèle de spam: quand
j'en vois un, je me dis que ça vient de chez OVH, et effectivement).
pouvais leur faire suspendre leur abonnement, ça me ferait bien
plaisir :-).
Ce n'est pas ça qui va gêner les spammeurs. Tant qu'il n'y a pas de
grosse conséquence financière...
--
Vincent Lefèvre <vincent@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/
blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/
20150216131856.GA17564@xvii.vinc17.org
On 2015-02-15 12:22:34 +0100, Philippe Gras wrote:Le 15 févr. 15 à 12:08, BERTRAND Joël a écrit :Philippe Gras a écrit :
Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :Philippe Gras a écrit :OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :Philippe Gras a écrit :Apparemment, ça a l'air super efficace :-) Par contre je
n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.
Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si
le
port est ouvert (et saturé) ou fermé, ou s'il y a même une
machine
sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde.
Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il
passe à
autre chose.
Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu
protégée,
ils
passent à une autre.
Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu
repasseras
;-)
La boîte noire n'est jamais une solution quand on parle de
sécurité.
La boîte noire ? Que veux-tu dire par-là ?
Que faire croire qu'il n'y a aucune machine qui répond sur cette
adresse
IP n'est pas la solution. Rejeter le paquet signifie "j'ai bien
vu ta
tentative et je t'emmerde".
D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre
son temps à faire des requêtes qui n'aboutiront pas. Mais...
Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des
réclamations abuse
dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas
trouvé
comment faire.
un abuse serait peut-être mieux. Ceci dit, je ne sais pas si
les principaux FAI concernés (en général chinois) prendraient
des mesures. Pour info, j'ai ceci dans mon /etc/hosts.deny:
# Permanent SSH ban due to many attempts (according to fail2ban)
# CHINANET-ZJ-HU (CN)
sshd: 61.174.48.0/21
# HEETHAI-HK (CN)
sshd: 103.41.124.0/24
# CHINANET-ZJ-SX (CN)
sshd: 115.231.216.0/21
# CHINANET-ZJ-HU (CN)
sshd: 122.225.96.0/19
# CHINANET-JS (CN)
sshd: 218.2.0.0/16
# UNICOM-JL (CN)
sshd: 222.160.0.0/14Quand elles aboutissent chez des gens sérieux perchant dans des pays
sérieux, l'effet
rafraîchissant est garanti. Je reçois plein de pourriels de chez
OVH en ce
moment, et je
sais qu'en les dénonçant, ils vont cesser leur petit jeu débile.
Les mecs ont déjà usé 3 IP pour me faire ch et je suppose qu'ils
en ont
d'autres. Si je
J'ai déjà blacklisté plus de 500 adresses IP de chez OVH (toutes
provenant de sous-réseaux propageant le même modèle de spam: quand
j'en vois un, je me dis que ça vient de chez OVH, et effectivement).pouvais leur faire suspendre leur abonnement, ça me ferait bien
plaisir :-).
Ce n'est pas ça qui va gêner les spammeurs. Tant qu'il n'y a pas de
grosse conséquence financière...
--
Vincent Lefèvre - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/
blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
La dernière version que j'ai installée (0.8.14) utilise le REJECT.
J'ai des sites en 0.8.4 où c'était encore DROP.
Donc, l'évolution va dans le sens de ce post.
On 03/02/15 12:01, Philippe Gras wrote:
Le 3 févr. 15 à 08:37, BERTRAND Joël a écrit :
J'ai vu aussi qu'il existait un système pour formuler une
réclamation au registrar :
https://github.com/sergejmueller/fail2ban/blob/master/action.d/
complain.conf
Le fichier existe aussi dans ma version de fail2ban. Si quelqu'un
connaît la procédure pour le
faire fonctionner
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
La dernière version que j'ai installée (0.8.14) utilise le REJECT.
J'ai des sites en 0.8.4 où c'était encore DROP.
Donc, l'évolution va dans le sens de ce post.
On 03/02/15 12:01, Philippe Gras wrote:
Le 3 févr. 15 à 08:37, BERTRAND Joël a écrit :
J'ai vu aussi qu'il existait un système pour formuler une
réclamation au registrar :
https://github.com/sergejmueller/fail2ban/blob/master/action.d/
complain.conf
Le fichier existe aussi dans ma version de fail2ban. Si quelqu'un
connaît la procédure pour le
faire fonctionner
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54D07AD5.6080108@systella.fr
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54D11BB1.6060108@2lconsult.be
La dernière version que j'ai installée (0.8.14) utilise le REJECT.
J'ai des sites en 0.8.4 où c'était encore DROP.
Donc, l'évolution va dans le sens de ce post.
On 03/02/15 12:01, Philippe Gras wrote:
Le 3 févr. 15 à 08:37, BERTRAND Joël a écrit :
J'ai vu aussi qu'il existait un système pour formuler une
réclamation au registrar :
https://github.com/sergejmueller/fail2ban/blob/master/action.d/
complain.conf
Le fichier existe aussi dans ma version de fail2ban. Si quelqu'un
connaît la procédure pour le
faire fonctionner
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/