Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.

Attention, une faille de sécurité dans bash a récemment été rapportée, il est recommandé de mettre à jour son système (plus de détails) *** mise à jour 12/10/2014 ***

#1 Le 07/11/2013, à 11:37

Ippo69

Détecter des DDOS

Bonjour,
après plusieurs recherche je n'ai pas trouvé réponse à ma question.

Depuis quelque jours je me prend des DDOS sur mon serveur dédié sous Debian 6.x.
Au départ, c'était des attaques de type SYN_RECV flood. Niquel, j'arrivais à les stopper manuellement en bannissant toutes les ips à la mains.

Puis l'attaquant à compris que j'arrivais à stopper ces attaques, et depuis quelques jours, je me prend des ddos différent, cette fois-ci "invisible".
Avec la commande: netstat -pan | grep SYN_RECV et netstat -pan
Il n'y a rien.

Comment puis-je voir d'où viennent les ddos?

Hors ligne

#2 Le 07/11/2013, à 11:58

bruno

Re : Détecter des DDOS

Est-ce que tu as fait une recherche avec iptables+ddos ou iptables+tarpit ?

Hors ligne

#3 Le 07/11/2013, à 11:59

Shanx

Re : Détecter des DDOS

Salut.

Tu peux peut-être utiliser DDos Deflate. Tu peux aussi ajouter un module (pour apache ou nginx ou je ne sais quel serveur), par exemple ModSecurity. Tu peux aussi envisager l’installation d’un analyseur de logs (Awstats est assez répandu).
Pour empêcher l’attaque, il y a aussi le combo iptables+tarpit.

Sinon, y’a aussi une solution en utilisant trafshow, mais c’est pas super pratique.

Dernière modification par Shanx (Le 07/11/2013, à 12:00)


« En vérité, je ne voyage pas, moi, pour atteindre un endroit précis, mais pour marcher : simple plaisir de voyager. » R. L. Stevenson
--
Blog et randos

En ligne

#4 Le 07/11/2013, à 16:33

src

Re : Détecter des DDOS

Certains hébergeurs proposent (gratuitement ou non) des solutions contre les attaques ddos, peut-être est-ce le cas avec le tiens ?


Actuellement sur Manjaro Xfce (amd64)
Serveur sur Debian Wheezy + LXC + YunoHost.
http://maniatux.fr

Hors ligne

#5 Le 07/11/2013, à 18:17

pires57

Re : Détecter des DDOS

Bonjour, tu devrais allez jeter un oeil du côté de fail2ban.


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.

Hors ligne

#6 Le 08/11/2013, à 08:33

Titouan

Re : Détecter des DDOS

quelques extraits de logs seraient sympas ... wink

Hors ligne

#7 Le 08/11/2013, à 08:45

Shanx

Re : Détecter des DDOS

Ben s’il n’arrivait pas à les avoir (vu que netstat ne renvoyait rien), c’est dur de les fournir. tongue


« En vérité, je ne voyage pas, moi, pour atteindre un endroit précis, mais pour marcher : simple plaisir de voyager. » R. L. Stevenson
--
Blog et randos

En ligne

#8 Le 08/11/2013, à 08:49

Titouan

Re : Détecter des DDOS

cette fois-ci "invisible".

le retour de fantomas, c'est sûr ...  big_smile

Hors ligne

#9 Le 08/11/2013, à 10:50

jplemoine

Re : Détecter des DDOS

comme pires57, je crois que fail2ban le gère et la mise en place n'est pas très compliquée.


Cordialement, Jean-Philippe.
Sous Ubuntu en système principal depuis 2009
Ubuntu 14.04 desktop (2 postes) & server (1 poste)

Hors ligne

#10 Le 08/11/2013, à 18:23

Setsuneh

Re : Détecter des DDOS

jplemoine a écrit :

comme pires57, je crois que fail2ban le gère et la mise en place n'est pas très compliquée.

Fail2ban gère les intrusions en banissant au bout de X tentatives l'adresse ip en question. Il est aussi possible d'être alerté par mail. Pourquoi ne pas aussi se tourner vers des add-ons du type Moonit, Webmin?
Néanmoins ne fait pas n'importe quoi sous Fail au risque d'avoir qq soucis tongue

Hors ligne

#11 Le 18/11/2013, à 12:00

Ippo69

Re : Détecter des DDOS

Merci pour vos réponses.
Quand je tape netstat -pan | grep SYN_RECV
Rien n'a s'affiche alors qu'on se fait DDOS.
J'ai fais des recherches sur Fail2ban , il ne gère pas les DDOS.

Sinon, autre question, comment debannir une ip sur iptable?J'ai cherché, je n'ai pas trouvé.
J'utilise cette commande pour bannir une ip via iptable: /sbin/iptables -I INPUT 1 -s  AdresseIP -j DROP

PS: Et si je viens poster ici, c'est simplement que je n'ai pas les moyens d'investir pour une protection anti ddos, ce qui explique pourquoi je bloque les DDOS à "la main" en bannisant les ips

Dernière modification par Ippo69 (Le 18/11/2013, à 12:01)

Hors ligne

#12 Le 18/11/2013, à 15:42

Setsuneh

Re : Détecter des DDOS

Tout simplement, il faut faire:

iptables -D INPUT -s XXX.XXX.XX.XX -j DROP

Sans oublier que s’il faut bloquer/débloquer une plage IP, alors il faut remplacer l’adresse IP par l’adresse IP/CIDR de mémoire.

Hors ligne

#13 Le 18/11/2013, à 18:21

pires57

Re : Détecter des DDOS

J'ai fais des recherches sur Fail2ban , il ne gère pas les DDOS.

faux,

Dernière modification par pires57 (Le 18/11/2013, à 18:26)


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.

Hors ligne

#14 Le 18/11/2013, à 18:35

sinbad83

Re : Détecter des DDOS

Avec Fail2ban, tu configures le DDOS par le fichier /etc/fail2ban/jail.conf.


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop Quad8800 Ubuntu 14.04.1 et Seven,  Samsung N150 U14.04.1 et Seven, HP Pavillon G6 U14.04.1 et Seven, Serveurs Ubuntu 14.04.1, Serveur virtualisation Proxmox

Hors ligne

#15 Le 20/11/2013, à 00:16

Ippo69

Re : Détecter des DDOS

Ah oui en effet.
J'ai trouvé un tuto pour configurer Fail2ban pour les DDOS.
Mais je comprend pas trop comment bien modifier le fichier jail.conf.car y a déjà des trucs là dedans.

Où dois-je exactement placer le script?

Hors ligne

#16 Le 20/11/2013, à 10:09

bruno

Re : Détecter des DDOS

Il ne faut pas modifier le fichier jail.conf ! Tu le copies vers jail.local et c'est ce fichier que tu modifies. Le fichier est auto-documenté tu y trouveras différentes section te permettant d'activer/désactiver des filtres (enabled=true).

fail2ban ne permet pas vraiment de bloquer une attaque par DDOS. fail2ban agit en recherchant dans les logs des motifs correspondant à des filtres, lorsque x correspondances avec la me IP/nom d'hôte sont trouvées, il ajoute une règle iptable pour bloquer cette IP.
Une attaque DDOS envoie des centaines voir des milliers de paquets sur ta machine, le temps que fail2ban réagisse te système sera peut-être déjà bloqué. D'autre part fail2ban ne réagira que si un filtre correspond au type d'attaque. Enfin une attaque DDOS peut être issue de nombreuses IP différentes (botnet) et là fail2ban sera totalement inefficace.

Pour les attaques par SYN flood que tu évoques au début, tu peux empêcher cela avec le fichier /etc/sysctl.conf :

net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_max_syn_backlog = 1024 

Hors ligne

#17 Le 20/11/2013, à 11:40

Ippo69

Re : Détecter des DDOS

Oui mais dans le tuto que j'ai trouvé, ils me disent de modifier le fichier jail.conf.

Je le met où ton code?

J'ai ça dans mon ifchier sysctl.conf:

#
# /etc/sysctl.conf - Configuration file for setting system variables
# See /etc/sysctl.d/ for additonal system variables
# See sysctl.conf (5) for information.
#

#kernel.domainname = example.com

# Uncomment the following to stop low-level messages on console
#kernel.printk = 3 4 1 3

##############################################################3
# Functions previously found in netbase
#

# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
#net.ipv4.conf.default.rp_filter=1
#net.ipv4.conf.all.rp_filter=1

# Uncomment the next line to enable TCP/IP SYN cookies
# See http://lwn.net/Articles/277146/
# Note: This may impact IPv6 TCP sessions too
#net.ipv4.tcp_syncookies=1

# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1

# Uncomment the next line to enable packet forwarding for IPv6
#  Enabling this option disables Stateless Address Autoconfiguration
#  based on Router Advertisements for this host
#net.ipv6.conf.all.forwarding=1


###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
#net.ipv4.conf.all.accept_source_route = 0
#net.ipv6.conf.all.accept_source_route = 0
#
# Log Martian Packets
#net.ipv4.conf.all.log_martians = 1
#

Dernière modification par Ippo69 (Le 20/11/2013, à 11:41)

Hors ligne

#18 Le 20/11/2013, à 11:59

bruno

Re : Détecter des DDOS

Tu fais davantage confiance à un tuto trouvé on ne soit où, qu'aux développeurs Debian ?
Au début du fichier jail.conf :

# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#

Pour le fichier sysctl.conf cela n'a pas d'importance (enfin il suffit de lire ce qu'il y a dans le fichier…)

Hors ligne

#19 Le 24/11/2013, à 12:11

Ippo69

Re : Détecter des DDOS

Au début du fichier jail.conf :

# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#

J'ai rien compris

Hors ligne

#20 Le 24/11/2013, à 13:18

jplemoine

Re : Détecter des DDOS

# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#

Pour éviter de gérer les fusions NE PAS MODIFIER CE FICHIER
et faites plutôt vos changements dans /etc/fail2ban/jail.local


Cordialement, Jean-Philippe.
Sous Ubuntu en système principal depuis 2009
Ubuntu 14.04 desktop (2 postes) & server (1 poste)

Hors ligne

Haut de page ↑