quel service repond a cette machine ?

Bertrand

01/08/2004 à 14:14

Salut,

Dans mes regles de Firwall, j'interdis aussi les paquets sortants
(chacun son niveau de parano). Et je les logge.

Tu veux dire quoi par "j'interdis aussi les paquets sortants" ??
Si tu interdits les paquets sortants ta machine ne pourra plus rien
envoyer sur le net => pas de web, pas de ssh, rien du tout.

Tu peux pas plutot paster tes regles ?

Ma machine ping une machine 195.140.143.35. Et je n'arrive pas a
identifier quel processus declenche ce ping.
Voici le log iptables correspondant:
[...]
Jul 31 19:55:08 h1-59 kernel: rejected_output_: IN= OUT=eth0
SRC5.140.140.181 DST5.140.143.35 LEN( TOS=0x00 PREC=0x00 TTLd
ID5490 PROTO=ICMP TYPE=0 CODE=0 IDQ2 SEQQ720
[...]

C'est pas un ping, c'est une REPONSE a un ping. Autrement dit, c'est
195.140.140.181 qui TE pingue, et c'est TA machine qui REPOND a ce ping.
Et cette reopnse est bloquée par une de tes regles iptables.

Comment je le sais ? Ben, je demande a Google, par exemple en cherchant
"icmp type 0" et en clickant sur "J'ai de la chance"

Bref, si je fais "ping <tonip>" ca va faire pareil.

Conclusion: ceci n'est pas declenché par ta machine mais par un outil
exterieur.

Bon, deja, c'est une mauvaise idée d'interdire les ICMP entrants ou
sortants aveuglement, et ce pour plusieurs raisons:
- Si ils existent, c'est qu'ils sont utiles (generalement)
- De toute facon, si tu te prends un DDoS en ICMP et que tu recois
50mb/sec dans la tronche en ICMP ECHO reply ou request, c'est pas ta regle
iptables qui va t'aider.

Le mieux c'est de mettre une limite au nombre d'icmp qui peuvent sortir et
d'ignorer les icmp envoyés en broadcast (particulierement les echo
requests).

Si tu interdis tous les ICMPs, tu _auras_ des problemes.

( il utilise l'adresse ip que je n'utilise pas ) j'utilise uniquement
x.x.x.180 et jamais x.x.x.181, ce qui attire vraiment ma curiosité car
la deuxieme adresse IP (x.x.x.181) n'a été publiée nulle part (meme pas
chez mon registrar) ...

Souvent les hebergeurs ont des outils de monitoring qui pinguent toute
leur plage d'IPs afin de voir si des machines sont down. Exemple: OVH.
Genre si tu bloques leurs ICMPs ils vont te rebooter ta box (tss..)

Bon. Je fais comment pour arreter ces satanés pings ?

Tu envois un mail au proprio de la machine et tu lui demande d'arreter de
te bouffer ta bande passante ;)
Soit il te rit au nez, soit il est gentil et il coupe. le mieux etant de
dropper ses paquets sans les loguer...

Si tu te poses autant de questions a chaque fois qu'on pingue ta machine,
tu n'as pas fini :)

@+
Bertrand

Salut,

Dans mes regles de Firwall, j'interdis aussi les paquets sortants
(chacun son niveau de parano). Et je les logge.

Tu veux dire quoi par "j'interdis aussi les paquets sortants" ??
Si tu interdits les paquets sortants ta machine ne pourra plus rien
envoyer sur le net => pas de web, pas de ssh, rien du tout.

Tu peux pas plutot paster tes regles ?

Ma machine ping une machine 195.140.143.35. Et je n'arrive pas a
identifier quel processus declenche ce ping.
Voici le log iptables correspondant:
[...]
Jul 31 19:55:08 h1-59 kernel: rejected_output_: IN= OUT=eth0
SRC5.140.140.181 DST5.140.143.35 LEN( TOS=0x00 PREC=0x00 TTLd
ID5490 PROTO=ICMP TYPE=0 CODE=0 IDQ2 SEQQ720
[...]

C'est pas un ping, c'est une REPONSE a un ping. Autrement dit, c'est
195.140.140.181 qui TE pingue, et c'est TA machine qui REPOND a ce ping.
Et cette reopnse est bloquée par une de tes regles iptables.

Comment je le sais ? Ben, je demande a Google, par exemple en cherchant
"icmp type 0" et en clickant sur "J'ai de la chance"

Bref, si je fais "ping <tonip>" ca va faire pareil.

Conclusion: ceci n'est pas declenché par ta machine mais par un outil
exterieur.

Bon, deja, c'est une mauvaise idée d'interdire les ICMP entrants ou
sortants aveuglement, et ce pour plusieurs raisons:
- Si ils existent, c'est qu'ils sont utiles (generalement)
- De toute facon, si tu te prends un DDoS en ICMP et que tu recois
50mb/sec dans la tronche en ICMP ECHO reply ou request, c'est pas ta regle
iptables qui va t'aider.

Le mieux c'est de mettre une limite au nombre d'icmp qui peuvent sortir et
d'ignorer les icmp envoyés en broadcast (particulierement les echo
requests).

Si tu interdis tous les ICMPs, tu _auras_ des problemes.

( il utilise l'adresse ip que je n'utilise pas ) j'utilise uniquement
x.x.x.180 et jamais x.x.x.181, ce qui attire vraiment ma curiosité car
la deuxieme adresse IP (x.x.x.181) n'a été publiée nulle part (meme pas
chez mon registrar) ...

Souvent les hebergeurs ont des outils de monitoring qui pinguent toute
leur plage d'IPs afin de voir si des machines sont down. Exemple: OVH.
Genre si tu bloques leurs ICMPs ils vont te rebooter ta box (tss..)

Bon. Je fais comment pour arreter ces satanés pings ?

Tu envois un mail au proprio de la machine et tu lui demande d'arreter de
te bouffer ta bande passante ;)
Soit il te rit au nez, soit il est gentil et il coupe. le mieux etant de
dropper ses paquets sans les loguer...

Si tu te poses autant de questions a chaque fois qu'on pingue ta machine,
tu n'as pas fini :)

@+
Bertrand

Vous avez filtré cet utilisateur ! Consultez son message

Salut,

Dans mes regles de Firwall, j'interdis aussi les paquets sortants
(chacun son niveau de parano). Et je les logge.

Tu veux dire quoi par "j'interdis aussi les paquets sortants" ??
Si tu interdits les paquets sortants ta machine ne pourra plus rien
envoyer sur le net => pas de web, pas de ssh, rien du tout.

Tu peux pas plutot paster tes regles ?

Ma machine ping une machine 195.140.143.35. Et je n'arrive pas a
identifier quel processus declenche ce ping.
Voici le log iptables correspondant:
[...]
Jul 31 19:55:08 h1-59 kernel: rejected_output_: IN= OUT=eth0
SRC5.140.140.181 DST5.140.143.35 LEN( TOS=0x00 PREC=0x00 TTLd
ID5490 PROTO=ICMP TYPE=0 CODE=0 IDQ2 SEQQ720
[...]

C'est pas un ping, c'est une REPONSE a un ping. Autrement dit, c'est
195.140.140.181 qui TE pingue, et c'est TA machine qui REPOND a ce ping.
Et cette reopnse est bloquée par une de tes regles iptables.

Comment je le sais ? Ben, je demande a Google, par exemple en cherchant
"icmp type 0" et en clickant sur "J'ai de la chance"

Bref, si je fais "ping <tonip>" ca va faire pareil.

Conclusion: ceci n'est pas declenché par ta machine mais par un outil
exterieur.

Bon, deja, c'est une mauvaise idée d'interdire les ICMP entrants ou
sortants aveuglement, et ce pour plusieurs raisons:
- Si ils existent, c'est qu'ils sont utiles (generalement)
- De toute facon, si tu te prends un DDoS en ICMP et que tu recois
50mb/sec dans la tronche en ICMP ECHO reply ou request, c'est pas ta regle
iptables qui va t'aider.

Le mieux c'est de mettre une limite au nombre d'icmp qui peuvent sortir et
d'ignorer les icmp envoyés en broadcast (particulierement les echo
requests).

Si tu interdis tous les ICMPs, tu _auras_ des problemes.

( il utilise l'adresse ip que je n'utilise pas ) j'utilise uniquement
x.x.x.180 et jamais x.x.x.181, ce qui attire vraiment ma curiosité car
la deuxieme adresse IP (x.x.x.181) n'a été publiée nulle part (meme pas
chez mon registrar) ...

Souvent les hebergeurs ont des outils de monitoring qui pinguent toute
leur plage d'IPs afin de voir si des machines sont down. Exemple: OVH.
Genre si tu bloques leurs ICMPs ils vont te rebooter ta box (tss..)

Bon. Je fais comment pour arreter ces satanés pings ?

Tu envois un mail au proprio de la machine et tu lui demande d'arreter de
te bouffer ta bande passante ;)
Soit il te rit au nez, soit il est gentil et il coupe. le mieux etant de
dropper ses paquets sans les loguer...

Si tu te poses autant de questions a chaque fois qu'on pingue ta machine,
tu n'as pas fini :)

@+
Bertrand

dphn

01/08/2004 à 15:10

Rakotomandimby Mihamina :

[snip]

Ma machine ping une machine 195.140.143.35. Et je n'arrive pas a
identifier quel processus declenche ce ping.

[snip]

A tout hasard : vous n'auriez pas un outil, sur votre machine, chargé
de scruter le contenu des sites que vous visitez ? Parce qu'une
résolution DNS sur l'adresse en question conduit à qqchose qui y fait
penser :

§
HTTP/1.1 200 OK
Connection: close
Date: Sun, 01 Aug 2004 10:27:05 GMT
Server: Microsoft-IIS/6.0
PICS-Label: (PICS-1.0 "http://www.rsac.org/ratingsv01.html" l by
"" on "2004.05.29T17:03+0200" exp
"2005.05.29T12:00+0200" r (v 0 s 0 n 0 l 0))
X-Powered-By: ASP.NET
X-AspNet-Version: 1.1.4322
Cache-Control: private
Content-Type: text/html; charset=iso-8859-1
§

Mais je suppose que vous ne m'avez pas attendu pour faire cette
recherche, je dois donc me tromper.

--
dphn

Rakotomandimby Mihamina

01/08/2004 à 21:36

Bertrand wrote:

Tu veux dire quoi par "j'interdis aussi les paquets sortants" ??
Si tu interdits les paquets sortants ta machine ne pourra plus rien
envoyer sur le net => pas de web, pas de ssh, rien du tout.

Si. Je laisse passer les connections deja etablies

Tu peux pas plutot paster tes regles ?

Les voici :
http://www.rktmb.org/Members/mihamina/divers/fw1.txt/file_view
(ne pas faire attention aux commentaires a la con, ...)

Ma machine ping une machine 195.140.143.35. Et je n'arrive pas a
identifier quel processus declenche ce ping.
Voici le log iptables correspondant:
[...]
Jul 31 19:55:08 h1-59 kernel: rejected_output_: IN= OUT=eth0
SRC5.140.140.181 DST5.140.143.35 LEN( TOS=0x00 PREC=0x00 TTLd
ID5490 PROTO=ICMP TYPE=0 CODE=0 IDQ2 SEQQ720
[...]
C'est pas un ping, c'est une REPONSE a un ping. Autrement dit, c'est

195.140.140.181 qui TE pingue, et c'est TA machine qui REPOND a ce ping.
Et cette reopnse est bloquée par une de tes regles iptables.

Mais ... Dans ce cas je n'ai pas compris ! une reponse est censé etre
autorisée par :
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Non ? donc on ne devrait pas en entendre parler ! ...

Comment je le sais ? Ben, je demande a Google, par exemple en cherchant
"icmp type 0" et en clickant sur "J'ai de la chance"

Euh ... J'ai jamais cru en la chance. :-)

Bref, si je fais "ping <tonip>" ca va faire pareil.

OK

Bon, deja, c'est une mauvaise idée d'interdire les ICMP entrants ou
sortants aveuglement, et ce pour plusieurs raisons:
- Si ils existent, c'est qu'ils sont utiles (generalement)

Les paquets unclean aussi, et tout plein de trucs, mais comme je ne sais
pas trop a quoi ca correspond (enfin... ca viendra petit a petit), je
flingue ce que je connais pas.

- De toute facon, si tu te prends un DDoS en ICMP et que tu recois
50mb/sec dans la tronche en ICMP ECHO reply ou request, c'est pas ta regle
iptables qui va t'aider.

Disons que ne serai-ce que pour observer ce qui se passe, c'est utile.
Si j'avais tout (INPUT et OUTPUT) mis a '-j ACCEPT', je ne saurais rien
de ce qui se passe ...

Le mieux c'est de mettre une limite au nombre d'icmp qui peuvent sortir et
d'ignorer les icmp envoyés en broadcast (particulierement les echo
requests).

Tu peux m'aider un peu pour la ligne iptables correspondante ?

h1-59:~# ifconfig eth0
Link encap:Ethernet HWaddr 00:0B:6A:43:79:74
inet addr:195.140.140.180 Bcast:195.140.140.255 Mask:255.255.255.0
inet6 addr: fe80::20b:6aff:fe43:7974/64 Scope:Link

Donc est ce que ceci devrait aller ?
iptables -A INPUT -p icmp --icmp-type echo-request -d 195.140.140.255 -j
DROP

Ou plutot REJECT ?

Si tu interdis tous les ICMPs, tu _auras_ des problemes.

Seuls ceux entrant sont autorisés, et dans une certaine limite (comme tu
vois dans les regles iptables)

Souvent les hebergeurs ont des outils de monitoring qui pinguent toute
leur plage d'IPs afin de voir si des machines sont down. Exemple: OVH.
Genre si tu bloques leurs ICMPs ils vont te rebooter ta box (tss..)

Je m'en suis rendu compte a un moment, et je leur ai demandé les IP de
leurs box de monitoring et il m'ont repondu, et j'ai autorisé les IP de
ces boites.

Bon. Je fais comment pour arreter ces satanés pings ?
Tu envois un mail au proprio de la machine et tu lui demande d'arreter de

te bouffer ta bande passante ;)

Gna ..

Soit il te rit au nez, soit il est gentil et il coupe. le mieux etant de
dropper ses paquets sans les loguer...

je crois que je vais plutot opter pour cela.

Si tu te poses autant de questions a chaque fois qu'on pingue ta machine,
tu n'as pas fini :)

Ouais ...
Merci pour ton intervention, j'attends juste ton avis sur les pings en
broadcast.
A bientot ! :-)

--
Rakotomandimby Mihamina Andrianifaharana
Tel : +33 2 38 76 43 65
http://www.rktmb.org/Members/mihamina

Bertrand wrote:

Tu veux dire quoi par "j'interdis aussi les paquets sortants" ??
Si tu interdits les paquets sortants ta machine ne pourra plus rien
envoyer sur le net => pas de web, pas de ssh, rien du tout.

Si. Je laisse passer les connections deja etablies

Tu peux pas plutot paster tes regles ?

Les voici :
http://www.rktmb.org/Members/mihamina/divers/fw1.txt/file_view
(ne pas faire attention aux commentaires a la con, ...)

Ma machine ping une machine 195.140.143.35. Et je n'arrive pas a
identifier quel processus declenche ce ping.
Voici le log iptables correspondant:
[...]
Jul 31 19:55:08 h1-59 kernel: rejected_output_: IN= OUT=eth0
SRC5.140.140.181 DST5.140.143.35 LEN( TOS=0x00 PREC=0x00 TTLd
ID5490 PROTO=ICMP TYPE=0 CODE=0 IDQ2 SEQQ720
[...]
C'est pas un ping, c'est une REPONSE a un ping. Autrement dit, c'est

195.140.140.181 qui TE pingue, et c'est TA machine qui REPOND a ce ping.
Et cette reopnse est bloquée par une de tes regles iptables.

Mais ... Dans ce cas je n'ai pas compris ! une reponse est censé etre
autorisée par :
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Non ? donc on ne devrait pas en entendre parler ! ...

Comment je le sais ? Ben, je demande a Google, par exemple en cherchant
"icmp type 0" et en clickant sur "J'ai de la chance"

Euh ... J'ai jamais cru en la chance. :-)

Bref, si je fais "ping <tonip>" ca va faire pareil.

OK

Bon, deja, c'est une mauvaise idée d'interdire les ICMP entrants ou
sortants aveuglement, et ce pour plusieurs raisons:
- Si ils existent, c'est qu'ils sont utiles (generalement)

Les paquets unclean aussi, et tout plein de trucs, mais comme je ne sais
pas trop a quoi ca correspond (enfin... ca viendra petit a petit), je
flingue ce que je connais pas.

- De toute facon, si tu te prends un DDoS en ICMP et que tu recois
50mb/sec dans la tronche en ICMP ECHO reply ou request, c'est pas ta regle
iptables qui va t'aider.

Disons que ne serai-ce que pour observer ce qui se passe, c'est utile.
Si j'avais tout (INPUT et OUTPUT) mis a '-j ACCEPT', je ne saurais rien
de ce qui se passe ...

Le mieux c'est de mettre une limite au nombre d'icmp qui peuvent sortir et
d'ignorer les icmp envoyés en broadcast (particulierement les echo
requests).

Tu peux m'aider un peu pour la ligne iptables correspondante ?

h1-59:~# ifconfig eth0
Link encap:Ethernet HWaddr 00:0B:6A:43:79:74
inet addr:195.140.140.180 Bcast:195.140.140.255 Mask:255.255.255.0
inet6 addr: fe80::20b:6aff:fe43:7974/64 Scope:Link

Donc est ce que ceci devrait aller ?
iptables -A INPUT -p icmp --icmp-type echo-request -d 195.140.140.255 -j
DROP

Ou plutot REJECT ?

Si tu interdis tous les ICMPs, tu _auras_ des problemes.

Seuls ceux entrant sont autorisés, et dans une certaine limite (comme tu
vois dans les regles iptables)

Souvent les hebergeurs ont des outils de monitoring qui pinguent toute
leur plage d'IPs afin de voir si des machines sont down. Exemple: OVH.
Genre si tu bloques leurs ICMPs ils vont te rebooter ta box (tss..)

Je m'en suis rendu compte a un moment, et je leur ai demandé les IP de
leurs box de monitoring et il m'ont repondu, et j'ai autorisé les IP de
ces boites.

Bon. Je fais comment pour arreter ces satanés pings ?
Tu envois un mail au proprio de la machine et tu lui demande d'arreter de

te bouffer ta bande passante ;)

Gna ..

Soit il te rit au nez, soit il est gentil et il coupe. le mieux etant de
dropper ses paquets sans les loguer...

je crois que je vais plutot opter pour cela.

Si tu te poses autant de questions a chaque fois qu'on pingue ta machine,
tu n'as pas fini :)

Ouais ...
Merci pour ton intervention, j'attends juste ton avis sur les pings en
broadcast.
A bientot ! :-)

--
Rakotomandimby Mihamina Andrianifaharana
Tel : +33 2 38 76 43 65
http://www.rktmb.org/Members/mihamina

Vous avez filtré cet utilisateur ! Consultez son message

Bertrand wrote:

Tu veux dire quoi par "j'interdis aussi les paquets sortants" ??
Si tu interdits les paquets sortants ta machine ne pourra plus rien
envoyer sur le net => pas de web, pas de ssh, rien du tout.

Si. Je laisse passer les connections deja etablies

Tu peux pas plutot paster tes regles ?

Les voici :
http://www.rktmb.org/Members/mihamina/divers/fw1.txt/file_view
(ne pas faire attention aux commentaires a la con, ...)

Ma machine ping une machine 195.140.143.35. Et je n'arrive pas a
identifier quel processus declenche ce ping.
Voici le log iptables correspondant:
[...]
Jul 31 19:55:08 h1-59 kernel: rejected_output_: IN= OUT=eth0
SRC5.140.140.181 DST5.140.143.35 LEN( TOS=0x00 PREC=0x00 TTLd
ID5490 PROTO=ICMP TYPE=0 CODE=0 IDQ2 SEQQ720
[...]
C'est pas un ping, c'est une REPONSE a un ping. Autrement dit, c'est

195.140.140.181 qui TE pingue, et c'est TA machine qui REPOND a ce ping.
Et cette reopnse est bloquée par une de tes regles iptables.

Mais ... Dans ce cas je n'ai pas compris ! une reponse est censé etre
autorisée par :
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Non ? donc on ne devrait pas en entendre parler ! ...

Comment je le sais ? Ben, je demande a Google, par exemple en cherchant
"icmp type 0" et en clickant sur "J'ai de la chance"

Euh ... J'ai jamais cru en la chance. :-)

Bref, si je fais "ping <tonip>" ca va faire pareil.

OK

Bon, deja, c'est une mauvaise idée d'interdire les ICMP entrants ou
sortants aveuglement, et ce pour plusieurs raisons:
- Si ils existent, c'est qu'ils sont utiles (generalement)

Les paquets unclean aussi, et tout plein de trucs, mais comme je ne sais
pas trop a quoi ca correspond (enfin... ca viendra petit a petit), je
flingue ce que je connais pas.

- De toute facon, si tu te prends un DDoS en ICMP et que tu recois
50mb/sec dans la tronche en ICMP ECHO reply ou request, c'est pas ta regle
iptables qui va t'aider.

Disons que ne serai-ce que pour observer ce qui se passe, c'est utile.
Si j'avais tout (INPUT et OUTPUT) mis a '-j ACCEPT', je ne saurais rien
de ce qui se passe ...

Le mieux c'est de mettre une limite au nombre d'icmp qui peuvent sortir et
d'ignorer les icmp envoyés en broadcast (particulierement les echo
requests).

Tu peux m'aider un peu pour la ligne iptables correspondante ?

h1-59:~# ifconfig eth0
Link encap:Ethernet HWaddr 00:0B:6A:43:79:74
inet addr:195.140.140.180 Bcast:195.140.140.255 Mask:255.255.255.0
inet6 addr: fe80::20b:6aff:fe43:7974/64 Scope:Link

Donc est ce que ceci devrait aller ?
iptables -A INPUT -p icmp --icmp-type echo-request -d 195.140.140.255 -j
DROP

Ou plutot REJECT ?

Si tu interdis tous les ICMPs, tu _auras_ des problemes.

Seuls ceux entrant sont autorisés, et dans une certaine limite (comme tu
vois dans les regles iptables)

Souvent les hebergeurs ont des outils de monitoring qui pinguent toute
leur plage d'IPs afin de voir si des machines sont down. Exemple: OVH.
Genre si tu bloques leurs ICMPs ils vont te rebooter ta box (tss..)

Je m'en suis rendu compte a un moment, et je leur ai demandé les IP de
leurs box de monitoring et il m'ont repondu, et j'ai autorisé les IP de
ces boites.

Bon. Je fais comment pour arreter ces satanés pings ?
Tu envois un mail au proprio de la machine et tu lui demande d'arreter de

te bouffer ta bande passante ;)

Gna ..

Soit il te rit au nez, soit il est gentil et il coupe. le mieux etant de
dropper ses paquets sans les loguer...

je crois que je vais plutot opter pour cela.

Si tu te poses autant de questions a chaque fois qu'on pingue ta machine,
tu n'as pas fini :)

Ouais ...
Merci pour ton intervention, j'attends juste ton avis sur les pings en
broadcast.
A bientot ! :-)

--
Rakotomandimby Mihamina Andrianifaharana
Tel : +33 2 38 76 43 65
http://www.rktmb.org/Members/mihamina

Rakotomandimby Mihamina

01/08/2004 à 21:37

dphn wrote:

Mais je suppose que vous ne m'avez pas attendu pour faire cette
recherche, je dois donc me tromper.

Non, vous avez raison.
Justement je ne savais pas quels tests effectuer, pour voir ce qui se passe.
Je n'ai pas d'outils _volontairement_ installé pour scruter quoi que ce
soit.

C'est un serveur dédié, je ne m'en sers pas pour visiter des sites web.
En lisant les resultats de la resolution DNS que vous me proposez,
j'avoue ne pas savoir quel renseignements en tirer ...

C'est la reponse de Bertrand qui me disait qu'en fait c'est une
_reponse_ a un ping qui m'a mis sur la voie.

Il semble que j'aie trouvé la reponse, c'est une reponse a un ping.

Cela dit, au passage, avec quel outil faites-vous ce test (celui dont
vous venez de me montrer les resultats) ? sous Linux ? A part le fait
que cette machine soit sous Windows, avec un serveur http IIS-6, comment
puis-je exploiter ces renseignement ? a quoi correspondent-ils ?
--
Rakotomandimby Mihamina Andrianifaharana
Tel : +33 2 38 76 43 65
http://www.rktmb.org/Members/mihamina

Bertrand

01/08/2004 à 22:45

Salut,

Le mieux c'est de mettre une limite au nombre d'icmp qui peuvent sortir
et d'ignorer les icmp envoyés en broadcast (particulierement les echo
requests).

Tu peux m'aider un peu pour la ligne iptables correspondante ?

Gni ? Ben regardes tes propres lignes iptables !

# Syn-flood protection
iptables -A INPUT -p tcp --syn -m limit --limit 5/s -j ACCEPT

Ce genre de ligne est absolument valable pour les ICMPs!

En ce qui concerne les ICMPs echo-req en broadcast, j'avoue ne pas savoir
comment les bloquer a l'aide d'iptables (si quelqu'un sait merci de poster
ou de me laisser un mail). Par contre, c'est facile a faire avec cette
commande:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts (kernel 2.6, je
crois me souvenir que c'est le meme chemin pour les 2.4)

Ceci dit c'est normalement bloqué au niveau du FAI.

Donc est ce que ceci devrait aller ?
iptables -A INPUT -p icmp --icmp-type echo-request -d 195.140.140.255 -j
DROP

Ou plutot REJECT ?

Drop et basta.
Je crois que -s irait mieux que -d :) par contre c'est quoi ce 255 a la fin?
Si tu veux indiquer "toutes les machines ayant une adresse IP commencant
par 195.140.140.", il faut inscrire 195.140.140.0/24

Seuls ceux entrant sont autorisés, et dans une certaine limite (comme
tu vois dans les regles iptables)

Les ICMPs sortants sont utiles egalement

- De toute facon, si tu te prends un DDoS en ICMP et que tu recois
50mb/sec dans la tronche en ICMP ECHO reply ou request, c'est pas ta regle
iptables qui va t'aider.
Disons que ne serai-ce que pour observer ce qui se passe, c'est utile.

Si j'avais tout (INPUT et OUTPUT) mis a '-j ACCEPT', je ne saurais rien
de ce qui se passe ...

Je ne suis pas convaincu. Si tu veux savoir si tu es attaqué, utilise
plutot un NIDS type Prelude.
Les target "logs" c'est plutot en mon sens pour le debug et les paquets
qui ne devraient _jamais_ arriver. Si tu loggues tout, tu vas vite avoir des
logs enormes, et tu seras tenté de les lire en diagonale, ce qui n'est pas
bon du tout...

Enfin, c'est ce que je pense, peut etre que d'autres personnes plus
averties ont un autre avis que je serai ravi d'entendre. Je ne me
considere pas du tout comme un expert d'iptables...

@+
Bertrand

Salut,

Le mieux c'est de mettre une limite au nombre d'icmp qui peuvent sortir
et d'ignorer les icmp envoyés en broadcast (particulierement les echo
requests).

Tu peux m'aider un peu pour la ligne iptables correspondante ?

Gni ? Ben regardes tes propres lignes iptables !

# Syn-flood protection
iptables -A INPUT -p tcp --syn -m limit --limit 5/s -j ACCEPT

Ce genre de ligne est absolument valable pour les ICMPs!

En ce qui concerne les ICMPs echo-req en broadcast, j'avoue ne pas savoir
comment les bloquer a l'aide d'iptables (si quelqu'un sait merci de poster
ou de me laisser un mail). Par contre, c'est facile a faire avec cette
commande:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts (kernel 2.6, je
crois me souvenir que c'est le meme chemin pour les 2.4)

Ceci dit c'est normalement bloqué au niveau du FAI.

Donc est ce que ceci devrait aller ?
iptables -A INPUT -p icmp --icmp-type echo-request -d 195.140.140.255 -j
DROP

Ou plutot REJECT ?

Drop et basta.
Je crois que -s irait mieux que -d :) par contre c'est quoi ce 255 a la fin?
Si tu veux indiquer "toutes les machines ayant une adresse IP commencant
par 195.140.140.", il faut inscrire 195.140.140.0/24

Seuls ceux entrant sont autorisés, et dans une certaine limite (comme
tu vois dans les regles iptables)

Les ICMPs sortants sont utiles egalement

- De toute facon, si tu te prends un DDoS en ICMP et que tu recois
50mb/sec dans la tronche en ICMP ECHO reply ou request, c'est pas ta regle
iptables qui va t'aider.
Disons que ne serai-ce que pour observer ce qui se passe, c'est utile.

Si j'avais tout (INPUT et OUTPUT) mis a '-j ACCEPT', je ne saurais rien
de ce qui se passe ...

Je ne suis pas convaincu. Si tu veux savoir si tu es attaqué, utilise
plutot un NIDS type Prelude.
Les target "logs" c'est plutot en mon sens pour le debug et les paquets
qui ne devraient _jamais_ arriver. Si tu loggues tout, tu vas vite avoir des
logs enormes, et tu seras tenté de les lire en diagonale, ce qui n'est pas
bon du tout...

Enfin, c'est ce que je pense, peut etre que d'autres personnes plus
averties ont un autre avis que je serai ravi d'entendre. Je ne me
considere pas du tout comme un expert d'iptables...

@+
Bertrand

Vous avez filtré cet utilisateur ! Consultez son message

Salut,

Le mieux c'est de mettre une limite au nombre d'icmp qui peuvent sortir
et d'ignorer les icmp envoyés en broadcast (particulierement les echo
requests).

Tu peux m'aider un peu pour la ligne iptables correspondante ?

Gni ? Ben regardes tes propres lignes iptables !

# Syn-flood protection
iptables -A INPUT -p tcp --syn -m limit --limit 5/s -j ACCEPT

Ce genre de ligne est absolument valable pour les ICMPs!

En ce qui concerne les ICMPs echo-req en broadcast, j'avoue ne pas savoir
comment les bloquer a l'aide d'iptables (si quelqu'un sait merci de poster
ou de me laisser un mail). Par contre, c'est facile a faire avec cette
commande:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts (kernel 2.6, je
crois me souvenir que c'est le meme chemin pour les 2.4)

Ceci dit c'est normalement bloqué au niveau du FAI.

Donc est ce que ceci devrait aller ?
iptables -A INPUT -p icmp --icmp-type echo-request -d 195.140.140.255 -j
DROP

Ou plutot REJECT ?

Drop et basta.
Je crois que -s irait mieux que -d :) par contre c'est quoi ce 255 a la fin?
Si tu veux indiquer "toutes les machines ayant une adresse IP commencant
par 195.140.140.", il faut inscrire 195.140.140.0/24

Seuls ceux entrant sont autorisés, et dans une certaine limite (comme
tu vois dans les regles iptables)

Les ICMPs sortants sont utiles egalement

- De toute facon, si tu te prends un DDoS en ICMP et que tu recois
50mb/sec dans la tronche en ICMP ECHO reply ou request, c'est pas ta regle
iptables qui va t'aider.
Disons que ne serai-ce que pour observer ce qui se passe, c'est utile.

Si j'avais tout (INPUT et OUTPUT) mis a '-j ACCEPT', je ne saurais rien
de ce qui se passe ...

Je ne suis pas convaincu. Si tu veux savoir si tu es attaqué, utilise
plutot un NIDS type Prelude.
Les target "logs" c'est plutot en mon sens pour le debug et les paquets
qui ne devraient _jamais_ arriver. Si tu loggues tout, tu vas vite avoir des
logs enormes, et tu seras tenté de les lire en diagonale, ce qui n'est pas
bon du tout...

Enfin, c'est ce que je pense, peut etre que d'autres personnes plus
averties ont un autre avis que je serai ravi d'entendre. Je ne me
considere pas du tout comme un expert d'iptables...

@+
Bertrand

Laurent Bruder

02/08/2004 à 21:19

paf le chien wrote:

je confirme :-)

à titre anecdotique, après un ajustement, à cause d'un log mal placé je
me suis récemment retrouvé avec un fichier log qui m'a saturé une
partition en à peine une semaine.

d'où l'utilité de configurer correctement ses logrotate.....

a+

dphn

03/08/2004 à 10:03

Rakotomandimby Mihamina :

Il semble que j'aie trouvé la reponse, c'est une reponse a un ping.

Cela dit, au passage, avec quel outil faites-vous ce test (celui dont vous
venez de me montrer les resultats) ? sous Linux ? A part le fait que cette
machine soit sous Windows, avec un serveur http IIS-6, comment puis-je
exploiter ces renseignement ? a quoi correspondent-ils ?

C'est un petit utilitaire gratuit que vous trouverez sous le nom de
"IdServe" sur www.grc.com (où vous pourrez d'ailleurs profiter de
votre visite pour tester tous les ports). Conçu pour Windows.

--
dphn

quel service repond a cette machine ?

7 réponses

Veuillez sélectionner un problème