Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[Sécurité] Deny of Service rancontré (Résolu)
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
digimag
Guru
Guru


Joined: 14 May 2005
Posts: 449
Location: Toulouse, France

PostPosted: Wed Nov 30, 2005 4:29 pm    Post subject: [Sécurité] Deny of Service rancontré (Résolu) Reply with quote

Bonjour,

Je connais quelqu'un qui travaille dans le domaine de sécurité informatique. Je lui ai demandé de vérifier mon système (particulièrement le Par-Feu). Normalement, seul le serveur Web devrait être accessible.

Il a commencé par lancer un scanneur des ports, là tout allait bien. Ensuite il est parti mais je remarquais toujours du trafic entrant. Tous ses paquets étaient ignorés, mais pourtant... Mon serveur Apache n'était plus accessible: je recevais un "Time Out" lors de la connection.

Alors j'ai changé d'IP pour s'en débarasser et le serveur marchait de nouveau!

Est-ce normal? Il m'a aussi dit qu'il utilisait 220 sockets simultanement. Peut-être était-ce le maximal sur ma machine et plus personnne ne pouvait établir de connection? Je ne comprends pas vraiment.


Last edited by digimag on Fri Dec 02, 2005 5:19 pm; edited 1 time in total
Back to top
View user's profile Send private message
kwenspc
Advocate
Advocate


Joined: 21 Sep 2003
Posts: 4911

PostPosted: Wed Nov 30, 2005 4:41 pm    Post subject: Reply with quote

220 sockets c'est pas tant que ça :|

sur mon serveur j'atteint facilement les 300 parfois [edit] et c'est une petite machine...[/edit]

maintenant si les paquets qu'il envoyait étaient les plus gros possibles alors ça expliquerait l'impossibilité à ta machine de fonctionner au poil parce que malgré qu'ils soient rejetés ça demande quand même à netfilter (la partie qui filtre les paquet dans le noyau) de les prendre ete de les ignorés, donc il passent quand même par une petite partie du fiultre (avant le routage en fait, sur le hook 0).
_________________
membre officieux du SAV Ati GEntoo
Back to top
View user's profile Send private message
digimag
Guru
Guru


Joined: 14 May 2005
Posts: 449
Location: Toulouse, France

PostPosted: Thu Dec 01, 2005 11:37 am    Post subject: Reply with quote

Merci ;)
J'ai un Pentium II à 400 MHz; Réseau: 6,5 Mbps en récéption + 256 Kbps émission.
Cette configuration ne justifie toujours pas mes 220 sockets? Cela peut-il être du à la machine qui me testait?
Pour la configuration de iptables, elle est très simple:
Code:
*filter
:INPUT DROP [69:6114]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [20372:2188745]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -p tcp -m limit --limit 1/sec -m tcp --dport 80 -j ACCEPT
COMMIT
J'utilise iptables-restore.

Donc, pour conclure, est-il possible de contrer ce genre des problèmes?
Back to top
View user's profile Send private message
-KuRGaN-
Veteran
Veteran


Joined: 05 Dec 2004
Posts: 1142
Location: Besançon (25) [FRANCE]

PostPosted: Thu Dec 01, 2005 1:24 pm    Post subject: Reply with quote

Bah pour contrer, le plus simple ne serait-il pas de blacklister l'IP qui te scanne avec un soft comme fail2ban ????
Back to top
View user's profile Send private message
kwenspc
Advocate
Advocate


Joined: 21 Sep 2003
Posts: 4911

PostPosted: Thu Dec 01, 2005 2:26 pm    Post subject: Reply with quote

fail2ban c'est pour blacklister les ip qui tentent le brute force sur ssh (port 22). et quand bien même : blacklister n'empèche pas les paquets de rentré dans netfilter comme je l'ai dit plus haut.

digimag : je pense en effet que la machine qui t'a attaquée devait avoir une meilleur BP. dans le cas de DDOS c'est toujours la machine ayant le plus de BP qui est avantagée.
_________________
membre officieux du SAV Ati GEntoo
Back to top
View user's profile Send private message
digimag
Guru
Guru


Joined: 14 May 2005
Posts: 449
Location: Toulouse, France

PostPosted: Thu Dec 01, 2005 2:42 pm    Post subject: Reply with quote

Merci encore!

Donc: Gagne toujours celui qui a le plus de bande passante?
Mais ensuite on peut toujours enregistrer les IP et porter plainte, n'est-ce pas?

EDIT: Même pas :?
L'IP peut très bien être falsifié et ce genre des paquets ne demandent même pas de réponse!
Back to top
View user's profile Send private message
kwenspc
Advocate
Advocate


Joined: 21 Sep 2003
Posts: 4911

PostPosted: Thu Dec 01, 2005 2:44 pm    Post subject: Reply with quote

oui on peut porter plainte. mais dans le cas d'une vraie attaque DDOS généralement les attaquants le sont contre leur gré :wink: (c'est un virus sur la machine qui initialise l'attaque etc...) du coup la plainte :? --> poubelle.

le seul truc pour préserver le serveur (dans le cas d'une attaque brutale) c'est de couper la ligne.
_________________
membre officieux du SAV Ati GEntoo
Back to top
View user's profile Send private message
LostControl
l33t
l33t


Joined: 02 Mar 2004
Posts: 885
Location: La Glane, Suisse

PostPosted: Thu Dec 01, 2005 2:59 pm    Post subject: Reply with quote

kwenspc wrote:
fail2ban c'est pour blacklister les ip qui tentent le brute force sur ssh (port 22).

En fait, fail2ban peut blacklister tout ce qui laisse une trace dans les logs, tant qu'il y a l'adresse IP et un pattern reconnaissable.

Fin de la précision :wink:
_________________
http://www.jaqpot.net
http://www.fail2ban.org
Back to top
View user's profile Send private message
Enlight
Advocate
Advocate


Joined: 28 Oct 2004
Posts: 3514
Location: Alsace (France)

PostPosted: Thu Dec 01, 2005 3:00 pm    Post subject: Reply with quote

LostControl wrote:
kwenspc wrote:
fail2ban c'est pour blacklister les ip qui tentent le brute force sur ssh (port 22).

En fait, fail2ban peut blacklister tout ce qui laisse une trace dans les logs, tant qu'il y a l'adresse IP et un pattern reconnaissable.

Fin de la précision :wink:


Mais on est bien d'accord que c'est un "anti" brute force et pas un anti DOS?
_________________
le "lol" est aux boulets ce que le ";" est au programmeurs
Back to top
View user's profile Send private message
-KuRGaN-
Veteran
Veteran


Joined: 05 Dec 2004
Posts: 1142
Location: Besançon (25) [FRANCE]

PostPosted: Thu Dec 01, 2005 3:14 pm    Post subject: Reply with quote

Ben je croyai que fail2ban était pour les DOS, désolé :oops:
Back to top
View user's profile Send private message
kwenspc
Advocate
Advocate


Joined: 21 Sep 2003
Posts: 4911

PostPosted: Thu Dec 01, 2005 3:19 pm    Post subject: Reply with quote

bah dans la pratique contre un vrai DDOS y a rien sauf...débrancher le serveur du réseau et attendre que la tempête passe. (enfin si y a des moyens mais faut jouer sur les routeur qui amène le traffic en amont etc...galère quoi)
_________________
membre officieux du SAV Ati GEntoo
Back to top
View user's profile Send private message
LostControl
l33t
l33t


Joined: 02 Mar 2004
Posts: 885
Location: La Glane, Suisse

PostPosted: Thu Dec 01, 2005 3:20 pm    Post subject: Reply with quote

Enlight wrote:
Mais on est bien d'accord que c'est un "anti" brute force et pas un anti DOS?

C'est son but premier :wink:

Mais tu peux imaginer un DOS sur Apache, par exemple un script qui va lancer des requêtes pour des pages aléatoires. En surveillant le fichier "error_log", fail2ban pourrais bannir l'IP incriminée. Ce n'est pas du brute force dans le sens où la personne ne cherche pas à rentrer dans le système mais plutôt à ralentir voir à stopper le service. C'est donc une mesure anti DOS dans ce cas :wink:

A noter que fail2ban peut également surveiller le fichier "access_log" et bannir les IP qui font plus de x hits/minute par exemple. Ou blacklister celles qui accèdent trop souvent au fichier "toto.html". Bref, les utilisations sont nombreuses :D

Tu peux même imaginer lancer un reboot de ta machine si quelqu'un avec un nom d'utilisateur commençant par "jean" (par exemple) se loggue à 12h34 par SSH 8) Oui l'exemple est un peu inutile je l'avoue :lol:
_________________
http://www.jaqpot.net
http://www.fail2ban.org
Back to top
View user's profile Send private message
razer
l33t
l33t


Joined: 08 Oct 2004
Posts: 893
Location: Paris - France

PostPosted: Thu Dec 01, 2005 4:31 pm    Post subject: Reply with quote

Moi j'ai l'impression que cela n'a rien à voir avec la config de ta machine.
C'est un DOS par saturation de bande passante, de type ping flood
En clair si l'attaquant a plus de bande montante que tu as de descendante, il sature ton lien et ton filtrage n'y changera rien.
Une image réaliste serait la frontière mexique -> US
Si il y a trop de monde c'est la queue, chacun attend son tour, c'est pas pour çà que les douaniers dont "hackés"
Enfin j'ai sans doute mal compris...
Back to top
View user's profile Send private message
kwenspc
Advocate
Advocate


Joined: 21 Sep 2003
Posts: 4911

PostPosted: Thu Dec 01, 2005 5:23 pm    Post subject: Reply with quote

razer : non t'as pas mal compris. c'est ce que j'ai tenté d'expliquer déjà ^^ (on me lit pas ouinnnn!)

LostControl : ah ok, j'en été resté au début de fail2ban qui était censé bloqué les accès non voulue à ssh. Bon c'est cool alors si il marche pour le rete :)
_________________
membre officieux du SAV Ati GEntoo
Back to top
View user's profile Send private message
digimag
Guru
Guru


Joined: 14 May 2005
Posts: 449
Location: Toulouse, France

PostPosted: Fri Dec 02, 2005 5:18 pm    Post subject: Reply with quote

Merci à tous.

J'ai compris. Seulement je ne crois pas qu'il avait plus de bande passante que moi. Mais hop, résolu, je parlerai avec lui et on referra le test, pour vérifier d'où vient le problème.
Back to top
View user's profile Send private message
lesourbe
l33t
l33t


Joined: 24 Nov 2005
Posts: 710
Location: Champagne !

PostPosted: Fri Dec 02, 2005 5:52 pm    Post subject: Reply with quote

message a caractère informatif:
l'avant dernier numéro de misc (dans la presse) avait un dossier sur les attaques DOS qui m'a semblé bien ficelé...
_________________
Is that a banhammer ?
LeSourbe, Member of EPowerforce.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum