Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 10/09/2007, à 19:08

aggfr1

Attaque UDP

Sujet Supprimer !

Dernière modification par aggfr1 (Le 09/11/2008, à 21:58)

Hors ligne

#2 Le 10/09/2007, à 23:59

darkangel6669

Re : Attaque UDP

Salut,

Il est ou ce script ? big_smile

Hors ligne

#3 Le 11/09/2007, à 10:02

Link31

Re : Attaque UDP

aggfr1 a écrit :

Mais comment bloquer se genre d’attaque ? roll

Ça dépend comment est menée l'attaque, mais fail2ban pourrait faire l'affaire.

Dernière modification par Link31 (Le 11/09/2007, à 10:03)

Hors ligne

#4 Le 11/09/2007, à 11:58

tominardi

Re : Attaque UDP

ça consiste en quoi en fait ?

--tominardi.fr--un blog avec des trucs sur linux et des trucs musicaux, sans prétention.--

Hors ligne

#5 Le 11/09/2007, à 12:15

compte supprimé

Re : Attaque UDP

tominardi a écrit :

ça consiste en quoi en fait ?

au hasard, à faire tomber un serveur et puis accessoirement se retrouver en tôle ?

Par contre il vaut mieux savoir s'en protéger il est vrai.

Dernière modification par weenu (Le 11/09/2007, à 12:16)

#6 Le 11/09/2007, à 12:58

tominardi

Re : Attaque UDP

c'est inutile et ridicule alors?

--tominardi.fr--un blog avec des trucs sur linux et des trucs musicaux, sans prétention.--

Hors ligne

#7 Le 11/09/2007, à 13:45

Link31

Re : Attaque UDP

C'est le même problème que pour toutes les attaques par DoS : arrêter le service ou risquer qu'il finisse par tomber ?
D'où l'intérêt de quelque chose comme fail2ban : bloquer l'IP après un certain nombre de tentatives de connexion manquées. Je ne sais pas si ça fonctionne aussi dans ton cas, mais le principe est là.

Hors ligne

#8 Le 21/10/2007, à 06:19

Commandant

Re : Attaque UDP

Note du comité de la grammaire:

J'ai testé: le verbe "tester" est ici au passé composé, l'auxiliaire est le verbe avoir (ai) et "tester" doit être utilisé au participe passé (forme en é). Un moyen mnémotechnique consiste à remplacer les verbes terminant par "é" par mordre pour connaître la terminaison.

Une autre idée ?:Idée est un mot

Au plaisir

Dernière modification par Commandant (Le 21/10/2007, à 06:20)

Serveur Debian Lenny|Fixe Karmic - Gnome - ATI 4850|Portable Hardy - Gnome Nvidia 8500
Le lanceur ultime Gnome-do| Configurer facilement gnome avec Ubuntu-tweak
Plus de fautes d'orthographe en 5mn

Hors ligne

#9 Le 21/10/2007, à 14:28

kaworu

Re : Attaque UDP

Salut !
Un firewall bien configuré suffit.
Voilà un ptit bout de conf anti flood/scan.

$iptables -N SCANNING
    $iptables -A SCANNING -i $iface -m state --state NEW -m recent --set --name START
    $iptables -A SCANNING -i $iface -m state --state NEW -m recent --update --seconds 10 --hitcount 10 --rttl --name START -j LOG --log-prefix "[IPTABLES WARNING SCAN] : "
    $iptables -A SCANNING -i $iface -m state --state NEW -m recent --update --seconds 10 --hitcount 10 --rttl --name START -j DROP
$iptables -A SCANNING -j RETURN

<troll>Hé oui, iptables c'est horrible niveau syntax, rien que pour ça on aime *BSD et le bôôô PF</troll>
Voilà, si y a plus de 10 nouvelle connexions de la même IP dans un intervalle de moins de  10 secondes on commence à DROP. Si tu ping la machine qui a ces options, au bout de 10 sec. t'as plus de réponse (le temps de délai de ping est de 1 secondes par défaut). Tu peux bien sûr adapter --secondes et --hitcount.
ça évite les flood et ça ralentis bien les scans.

Fail2Ban n'écoute pas du tout le réseau !
C'est un outil qui analyse les logs, donc il faut d'abord loguer dans un fichier les tentatives d'authentifications manquées (tout bon service qui se respecte comme OpenSSH ou Apache le fait évidement), mais si c'est un flood, c'est Iptables qui doit loguer (comme le fait la 3ème ligne par exemple) et il faut ensuite configurer Fail2Ban pour analyser le fichier de log d'iptable. C'est plus simple et direct de DROP directement par iptables.

EDIT :
un petit exemple :
Coté méchant (on flood bind au port 53, car c'est mon seul port UDP ouvert):

alex@méchant ~ $ date && ./udp $TARGET 53 3
Sun Oct 21 14:40:34 CEST 2007
udp flood - odix
Killed

coté serveur :

[alex@mon_serveur] /var/log $ sudo tail kern.log
Oct 21 14:40:36 milky [IPTABLES WARNING SCAN] : IN=eth0 OUT= MAC=... SRC=MECHANT DST=MON_SERVEUR LEN=29 TOS=0x00 PREC=0x00 TTL=54 ID=0 DF PROTO=UDP SPT=11070 DPT=53 LEN=9 
Oct 21 14:40:36 milky [IPTABLES WARNING SCAN] : IN=eth0 OUT= MAC=... SRC=MECHANT DST=MON_SERVEUR LEN=29 TOS=0x00 PREC=0x00 TTL=54 ID=0 DF PROTO=UDP SPT=11070 DPT=53 LEN=9 
Oct 21 14:40:36 milky [IPTABLES WARNING SCAN] : IN=eth0 OUT= MAC=... SRC=MECHANT DST=MON_SERVEUR LEN=29 TOS=0x00 PREC=0x00 TTL=54 ID=0 DF PROTO=UDP SPT=11070 DPT=53 LEN=9 
...

Dernière modification par kaworu (Le 21/10/2007, à 14:57)

"There are in order of increasing severity: lies, damn lies, statistics, and computer benchmarks."

Hors ligne

Pages : 1