Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 07/11/2013, à 10:37

Ippo69

Détecter des DDOS

Bonjour,
après plusieurs recherche je n'ai pas trouvé réponse à ma question.

Depuis quelque jours je me prend des DDOS sur mon serveur dédié sous Debian 6.x.
Au départ, c'était des attaques de type SYN_RECV flood. Niquel, j'arrivais à les stopper manuellement en bannissant toutes les ips à la mains.

Puis l'attaquant à compris que j'arrivais à stopper ces attaques, et depuis quelques jours, je me prend des ddos différent, cette fois-ci "invisible".
Avec la commande: netstat -pan | grep SYN_RECV et netstat -pan
Il n'y a rien.

Comment puis-je voir d'où viennent les ddos?

Hors ligne

#2 Le 07/11/2013, à 10:58

bruno

Re : Détecter des DDOS

Est-ce que tu as fait une recherche avec iptables+ddos ou iptables+tarpit ?

En ligne

#3 Le 07/11/2013, à 10:59

Shanx

Re : Détecter des DDOS

Salut.

Tu peux peut-être utiliser DDos Deflate. Tu peux aussi ajouter un module (pour apache ou nginx ou je ne sais quel serveur), par exemple ModSecurity. Tu peux aussi envisager l’installation d’un analyseur de logs (Awstats est assez répandu).
Pour empêcher l’attaque, il y a aussi le combo iptables+tarpit.

Sinon, y’a aussi une solution en utilisant trafshow, mais c’est pas super pratique.

Dernière modification par Shanx (Le 07/11/2013, à 11:00)


Mes randos : grande traversées des Alpes, de l'Islande, de la Corse, du Japon (en vélo), etc.
Traversée des États-Unis à pied

Hors ligne

#4 Le 07/11/2013, à 15:33

src

Re : Détecter des DDOS

Certains hébergeurs proposent (gratuitement ou non) des solutions contre les attaques ddos, peut-être est-ce le cas avec le tiens ?


Actuellement sur Manjaro Xfce (amd64)

Hors ligne

#5 Le 07/11/2013, à 17:17

pires57

Re : Détecter des DDOS

Bonjour, tu devrais allez jeter un oeil du côté de fail2ban.


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#6 Le 08/11/2013, à 07:33

Pseudo supprimé

Re : Détecter des DDOS

quelques extraits de logs seraient sympas ... wink

#7 Le 08/11/2013, à 07:45

Shanx

Re : Détecter des DDOS

Ben s’il n’arrivait pas à les avoir (vu que netstat ne renvoyait rien), c’est dur de les fournir. tongue


Mes randos : grande traversées des Alpes, de l'Islande, de la Corse, du Japon (en vélo), etc.
Traversée des États-Unis à pied

Hors ligne

#8 Le 08/11/2013, à 07:49

Pseudo supprimé

Re : Détecter des DDOS

cette fois-ci "invisible".

le retour de fantomas, c'est sûr ...  big_smile

#9 Le 08/11/2013, à 09:50

jplemoine

Re : Détecter des DDOS

comme pires57, je crois que fail2ban le gère et la mise en place n'est pas très compliquée.


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#10 Le 08/11/2013, à 17:23

Setsuneh

Re : Détecter des DDOS

jplemoine a écrit :

comme pires57, je crois que fail2ban le gère et la mise en place n'est pas très compliquée.

Fail2ban gère les intrusions en banissant au bout de X tentatives l'adresse ip en question. Il est aussi possible d'être alerté par mail. Pourquoi ne pas aussi se tourner vers des add-ons du type Moonit, Webmin?
Néanmoins ne fait pas n'importe quoi sous Fail au risque d'avoir qq soucis tongue

Hors ligne

#11 Le 18/11/2013, à 11:00

Ippo69

Re : Détecter des DDOS

Merci pour vos réponses.
Quand je tape netstat -pan | grep SYN_RECV
Rien n'a s'affiche alors qu'on se fait DDOS.
J'ai fais des recherches sur Fail2ban , il ne gère pas les DDOS.

Sinon, autre question, comment debannir une ip sur iptable?J'ai cherché, je n'ai pas trouvé.
J'utilise cette commande pour bannir une ip via iptable: /sbin/iptables -I INPUT 1 -s  AdresseIP -j DROP

PS: Et si je viens poster ici, c'est simplement que je n'ai pas les moyens d'investir pour une protection anti ddos, ce qui explique pourquoi je bloque les DDOS à "la main" en bannisant les ips

Dernière modification par Ippo69 (Le 18/11/2013, à 11:01)

Hors ligne

#12 Le 18/11/2013, à 14:42

Setsuneh

Re : Détecter des DDOS

Tout simplement, il faut faire:

iptables -D INPUT -s XXX.XXX.XX.XX -j DROP

Sans oublier que s’il faut bloquer/débloquer une plage IP, alors il faut remplacer l’adresse IP par l’adresse IP/CIDR de mémoire.

Hors ligne

#13 Le 18/11/2013, à 17:21

pires57

Re : Détecter des DDOS

J'ai fais des recherches sur Fail2ban , il ne gère pas les DDOS.

faux,

Dernière modification par pires57 (Le 18/11/2013, à 17:26)


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#14 Le 18/11/2013, à 17:35

sinbad83

Re : Détecter des DDOS

Avec Fail2ban, tu configures le DDOS par le fichier /etc/fail2ban/jail.conf.


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop AMD Ryzen 5-3600, RAM 16GB, Ubuntu 20.10,   HP Pavillon G6 Ubuntu 20.10 et Ten, Serveur Ubuntu 18.04

Hors ligne

#15 Le 19/11/2013, à 23:16

Ippo69

Re : Détecter des DDOS

Ah oui en effet.
J'ai trouvé un tuto pour configurer Fail2ban pour les DDOS.
Mais je comprend pas trop comment bien modifier le fichier jail.conf.car y a déjà des trucs là dedans.

Où dois-je exactement placer le script?

Hors ligne

#16 Le 20/11/2013, à 09:09

bruno

Re : Détecter des DDOS

Il ne faut pas modifier le fichier jail.conf ! Tu le copies vers jail.local et c'est ce fichier que tu modifies. Le fichier est auto-documenté tu y trouveras différentes section te permettant d'activer/désactiver des filtres (enabled=true).

fail2ban ne permet pas vraiment de bloquer une attaque par DDOS. fail2ban agit en recherchant dans les logs des motifs correspondant à des filtres, lorsque x correspondances avec la me IP/nom d'hôte sont trouvées, il ajoute une règle iptable pour bloquer cette IP.
Une attaque DDOS envoie des centaines voir des milliers de paquets sur ta machine, le temps que fail2ban réagisse te système sera peut-être déjà bloqué. D'autre part fail2ban ne réagira que si un filtre correspond au type d'attaque. Enfin une attaque DDOS peut être issue de nombreuses IP différentes (botnet) et là fail2ban sera totalement inefficace.

Pour les attaques par SYN flood que tu évoques au début, tu peux empêcher cela avec le fichier /etc/sysctl.conf :

net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_max_syn_backlog = 1024 

En ligne

#17 Le 20/11/2013, à 10:40

Ippo69

Re : Détecter des DDOS

Oui mais dans le tuto que j'ai trouvé, ils me disent de modifier le fichier jail.conf.

Je le met où ton code?

J'ai ça dans mon ifchier sysctl.conf:

#
# /etc/sysctl.conf - Configuration file for setting system variables
# See /etc/sysctl.d/ for additonal system variables
# See sysctl.conf (5) for information.
#

#kernel.domainname = example.com

# Uncomment the following to stop low-level messages on console
#kernel.printk = 3 4 1 3

##############################################################3
# Functions previously found in netbase
#

# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
#net.ipv4.conf.default.rp_filter=1
#net.ipv4.conf.all.rp_filter=1

# Uncomment the next line to enable TCP/IP SYN cookies
# See http://lwn.net/Articles/277146/
# Note: This may impact IPv6 TCP sessions too
#net.ipv4.tcp_syncookies=1

# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1

# Uncomment the next line to enable packet forwarding for IPv6
#  Enabling this option disables Stateless Address Autoconfiguration
#  based on Router Advertisements for this host
#net.ipv6.conf.all.forwarding=1


###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
#net.ipv4.conf.all.accept_source_route = 0
#net.ipv6.conf.all.accept_source_route = 0
#
# Log Martian Packets
#net.ipv4.conf.all.log_martians = 1
#

Dernière modification par Ippo69 (Le 20/11/2013, à 10:41)

Hors ligne

#18 Le 20/11/2013, à 10:59

bruno

Re : Détecter des DDOS

Tu fais davantage confiance à un tuto trouvé on ne soit où, qu'aux développeurs Debian ?
Au début du fichier jail.conf :

# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#

Pour le fichier sysctl.conf cela n'a pas d'importance (enfin il suffit de lire ce qu'il y a dans le fichier…)

En ligne

#19 Le 24/11/2013, à 11:11

Ippo69

Re : Détecter des DDOS

Au début du fichier jail.conf :

# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#

J'ai rien compris

Hors ligne

#20 Le 24/11/2013, à 12:18

jplemoine

Re : Détecter des DDOS

# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#

Pour éviter de gérer les fusions NE PAS MODIFIER CE FICHIER
et faites plutôt vos changements dans /etc/fail2ban/jail.local


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne