[Sécurité] Deny of Service rancontré (Résolu)

digimag · Last edited by digimag on Fri Dec 02, 2005 5:19 pm; edited 1 time in total

Bonjour,

Je connais quelqu'un qui travaille dans le domaine de sécurité informatique. Je lui ai demandé de vérifier mon système (particulièrement le Par-Feu). Normalement, seul le serveur Web devrait être accessible.

Il a commencé par lancer un scanneur des ports, là tout allait bien. Ensuite il est parti mais je remarquais toujours du trafic entrant. Tous ses paquets étaient ignorés, mais pourtant... Mon serveur Apache n'était plus accessible: je recevais un "Time Out" lors de la connection.

Alors j'ai changé d'IP pour s'en débarasser et le serveur marchait de nouveau!

Est-ce normal? Il m'a aussi dit qu'il utilisait 220 sockets simultanement. Peut-être était-ce le maximal sur ma machine et plus personnne ne pouvait établir de connection? Je ne comprends pas vraiment.

kwenspc · Advocate Joined: 21 Sep 2003 Posts: 4954

220 sockets c'est pas tant que ça

sur mon serveur j'atteint facilement les 300 parfois [edit] et c'est une petite machine...[/edit]

maintenant si les paquets qu'il envoyait étaient les plus gros possibles alors ça expliquerait l'impossibilité à ta machine de fonctionner au poil parce que malgré qu'ils soient rejetés ça demande quand même à netfilter (la partie qui filtre les paquet dans le noyau) de les prendre ete de les ignorés, donc il passent quand même par une petite partie du fiultre (avant le routage en fait, sur le hook 0).
_________________
membre officieux du SAV Ati GEntoo

digimag · Posted: Thu Dec 01, 2005 11:37 am Post subject:

Merci

J'ai un Pentium II à 400 MHz; Réseau: 6,5 Mbps en récéption + 256 Kbps émission.
Cette configuration ne justifie toujours pas mes 220 sockets? Cela peut-il être du à la machine qui me testait?
Pour la configuration de iptables, elle est très simple:

-KuRGaN- · Posted: Thu Dec 01, 2005 1:24 pm Post subject:

Bah pour contrer, le plus simple ne serait-il pas de blacklister l'IP qui te scanne avec un soft comme fail2ban ????

kwenspc · Advocate Joined: 21 Sep 2003 Posts: 4954

fail2ban c'est pour blacklister les ip qui tentent le brute force sur ssh (port 22). et quand bien même : blacklister n'empèche pas les paquets de rentré dans netfilter comme je l'ai dit plus haut.

digimag : je pense en effet que la machine qui t'a attaquée devait avoir une meilleur BP. dans le cas de DDOS c'est toujours la machine ayant le plus de BP qui est avantagée.
_________________
membre officieux du SAV Ati GEntoo

digimag · Posted: Thu Dec 01, 2005 2:42 pm Post subject:

Merci encore!

Donc: Gagne toujours celui qui a le plus de bande passante?
Mais ensuite on peut toujours enregistrer les IP et porter plainte, n'est-ce pas?

EDIT: Même pas

L'IP peut très bien être falsifié et ce genre des paquets ne demandent même pas de réponse!

kwenspc · Advocate Joined: 21 Sep 2003 Posts: 4954

oui on peut porter plainte. mais dans le cas d'une vraie attaque DDOS généralement les attaquants le sont contre leur gré :wink:

(c'est un virus sur la machine qui initialise l'attaque etc...) du coup la plainte

--> poubelle.

le seul truc pour préserver le serveur (dans le cas d'une attaque brutale) c'est de couper la ligne.
_________________
membre officieux du SAV Ati GEntoo

LostControl · Posted: Thu Dec 01, 2005 2:59 pm Post subject:

Enlight · Posted: Thu Dec 01, 2005 3:00 pm Post subject:

-KuRGaN- · Posted: Thu Dec 01, 2005 3:14 pm Post subject:

Ben je croyai que fail2ban était pour les DOS, désolé :oops:

kwenspc · Advocate Joined: 21 Sep 2003 Posts: 4954

bah dans la pratique contre un vrai DDOS y a rien sauf...débrancher le serveur du réseau et attendre que la tempête passe. (enfin si y a des moyens mais faut jouer sur les routeur qui amène le traffic en amont etc...galère quoi)
_________________
membre officieux du SAV Ati GEntoo

LostControl · Posted: Thu Dec 01, 2005 3:20 pm Post subject:

razer · Posted: Thu Dec 01, 2005 4:31 pm Post subject:

Moi j'ai l'impression que cela n'a rien à voir avec la config de ta machine.
C'est un DOS par saturation de bande passante, de type ping flood
En clair si l'attaquant a plus de bande montante que tu as de descendante, il sature ton lien et ton filtrage n'y changera rien.
Une image réaliste serait la frontière mexique -> US
Si il y a trop de monde c'est la queue, chacun attend son tour, c'est pas pour çà que les douaniers dont "hackés"
Enfin j'ai sans doute mal compris...

kwenspc · Advocate Joined: 21 Sep 2003 Posts: 4954

razer : non t'as pas mal compris. c'est ce que j'ai tenté d'expliquer déjà ^^ (on me lit pas ouinnnn!)

LostControl : ah ok, j'en été resté au début de fail2ban qui était censé bloqué les accès non voulue à ssh. Bon c'est cool alors si il marche pour le rete

_________________
membre officieux du SAV Ati GEntoo

digimag · Posted: Fri Dec 02, 2005 5:18 pm Post subject:

Merci à tous.

J'ai compris. Seulement je ne crois pas qu'il avait plus de bande passante que moi. Mais hop, résolu, je parlerai avec lui et on referra le test, pour vérifier d'où vient le problème.

lesourbe · l33t Joined: 24 Nov 2005 Posts: 710 Location: Champagne !

message a caractère informatif:
l'avant dernier numéro de misc (dans la presse) avait un dossier sur les attaques DOS qui m'a semblé bien ficelé...
_________________
Is that a banhammer ?
LeSourbe, Member of EPowerforce.