Contenu | Rechercher | Menus

Annonce

Les adresses laposte.net ne permettent pas de recevoir nos emails. Vous êtes invité à changer d'adresse dans vos paramètres de compte à votre prochaine connexion.

Ubuntu 16.04 LTS
Commandez vos DVD et clés USB Ubuntu-fr !

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

#1 Le 07/11/2013, à 10:37

Ippo69

Détecter des DDOS

Bonjour,
après plusieurs recherche je n'ai pas trouvé réponse à ma question.

Depuis quelque jours je me prend des DDOS sur mon serveur dédié sous Debian 6.x.
Au départ, c'était des attaques de type SYN_RECV flood. Niquel, j'arrivais à les stopper manuellement en bannissant toutes les ips à la mains.

Puis l'attaquant à compris que j'arrivais à stopper ces attaques, et depuis quelques jours, je me prend des ddos différent, cette fois-ci "invisible".
Avec la commande: netstat -pan | grep SYN_RECV et netstat -pan
Il n'y a rien.

Comment puis-je voir d'où viennent les ddos?

Hors ligne

#2 Le 07/11/2013, à 10:58

bruno

Re : Détecter des DDOS

Est-ce que tu as fait une recherche avec iptables+ddos ou iptables+tarpit ?

Hors ligne

#3 Le 07/11/2013, à 10:59

Shanx

Re : Détecter des DDOS

Salut.

Tu peux peut-être utiliser DDos Deflate. Tu peux aussi ajouter un module (pour apache ou nginx ou je ne sais quel serveur), par exemple ModSecurity. Tu peux aussi envisager l’installation d’un analyseur de logs (Awstats est assez répandu).
Pour empêcher l’attaque, il y a aussi le combo iptables+tarpit.

Sinon, y’a aussi une solution en utilisant trafshow, mais c’est pas super pratique.

Dernière modification par Shanx (Le 07/11/2013, à 11:00)


Mes randos : tour des Cévennes, Vercors, grande traversée des Alpes, etc.

Hors ligne

#4 Le 07/11/2013, à 15:33

src

Re : Détecter des DDOS

Certains hébergeurs proposent (gratuitement ou non) des solutions contre les attaques ddos, peut-être est-ce le cas avec le tiens ?


Actuellement sur Manjaro Xfce (amd64)

Hors ligne

#5 Le 07/11/2013, à 17:17

pires57

Re : Détecter des DDOS

Bonjour, tu devrais allez jeter un oeil du côté de fail2ban.


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#6 Le 08/11/2013, à 07:33

Pseudo supprimé

Re : Détecter des DDOS

quelques extraits de logs seraient sympas ... wink

#7 Le 08/11/2013, à 07:45

Shanx

Re : Détecter des DDOS

Ben s’il n’arrivait pas à les avoir (vu que netstat ne renvoyait rien), c’est dur de les fournir. tongue


Mes randos : tour des Cévennes, Vercors, grande traversée des Alpes, etc.

Hors ligne

#8 Le 08/11/2013, à 07:49

Pseudo supprimé

Re : Détecter des DDOS

cette fois-ci "invisible".

le retour de fantomas, c'est sûr ...  big_smile

#9 Le 08/11/2013, à 09:50

jplemoine

Re : Détecter des DDOS

comme pires57, je crois que fail2ban le gère et la mise en place n'est pas très compliquée.


Cordialement, Jean-Philippe.
Système principal Sous Ubuntu de 2009 à février 2015 - Xubuntu depuis.
Xubuntu 14.04 - Xbuntu 16.04 (poste principal portable) - Ubuntu 14.04 server (desktop converti en serveur DHCP, DNS, dépôt local et supervision (icinga-shinken))
Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)

Hors ligne

#10 Le 08/11/2013, à 17:23

Setsuneh

Re : Détecter des DDOS

jplemoine a écrit :

comme pires57, je crois que fail2ban le gère et la mise en place n'est pas très compliquée.

Fail2ban gère les intrusions en banissant au bout de X tentatives l'adresse ip en question. Il est aussi possible d'être alerté par mail. Pourquoi ne pas aussi se tourner vers des add-ons du type Moonit, Webmin?
Néanmoins ne fait pas n'importe quoi sous Fail au risque d'avoir qq soucis tongue

Hors ligne

#11 Le 18/11/2013, à 11:00

Ippo69

Re : Détecter des DDOS

Merci pour vos réponses.
Quand je tape netstat -pan | grep SYN_RECV
Rien n'a s'affiche alors qu'on se fait DDOS.
J'ai fais des recherches sur Fail2ban , il ne gère pas les DDOS.

Sinon, autre question, comment debannir une ip sur iptable?J'ai cherché, je n'ai pas trouvé.
J'utilise cette commande pour bannir une ip via iptable: /sbin/iptables -I INPUT 1 -s  AdresseIP -j DROP

PS: Et si je viens poster ici, c'est simplement que je n'ai pas les moyens d'investir pour une protection anti ddos, ce qui explique pourquoi je bloque les DDOS à "la main" en bannisant les ips

Dernière modification par Ippo69 (Le 18/11/2013, à 11:01)

Hors ligne

#12 Le 18/11/2013, à 14:42

Setsuneh

Re : Détecter des DDOS

Tout simplement, il faut faire:

iptables -D INPUT -s XXX.XXX.XX.XX -j DROP

Sans oublier que s’il faut bloquer/débloquer une plage IP, alors il faut remplacer l’adresse IP par l’adresse IP/CIDR de mémoire.

Hors ligne

#13 Le 18/11/2013, à 17:21

pires57

Re : Détecter des DDOS

J'ai fais des recherches sur Fail2ban , il ne gère pas les DDOS.

faux,

Dernière modification par pires57 (Le 18/11/2013, à 17:26)


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#14 Le 18/11/2013, à 17:35

sinbad83

Re : Détecter des DDOS

Avec Fail2ban, tu configures le DDOS par le fichier /etc/fail2ban/jail.conf.


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop  8x AMD FX-8120, RAM 8GB, Ubuntu 16.10, 14.04.5 et Ten,   HP Pavillon G6 U16.04 et Ten, Samsung N150 U16.04 et Seven, Serveurs Ubuntu 16.04 et 14.04

Hors ligne

#15 Le 19/11/2013, à 23:16

Ippo69

Re : Détecter des DDOS

Ah oui en effet.
J'ai trouvé un tuto pour configurer Fail2ban pour les DDOS.
Mais je comprend pas trop comment bien modifier le fichier jail.conf.car y a déjà des trucs là dedans.

Où dois-je exactement placer le script?

Hors ligne

#16 Le 20/11/2013, à 09:09

bruno

Re : Détecter des DDOS

Il ne faut pas modifier le fichier jail.conf ! Tu le copies vers jail.local et c'est ce fichier que tu modifies. Le fichier est auto-documenté tu y trouveras différentes section te permettant d'activer/désactiver des filtres (enabled=true).

fail2ban ne permet pas vraiment de bloquer une attaque par DDOS. fail2ban agit en recherchant dans les logs des motifs correspondant à des filtres, lorsque x correspondances avec la me IP/nom d'hôte sont trouvées, il ajoute une règle iptable pour bloquer cette IP.
Une attaque DDOS envoie des centaines voir des milliers de paquets sur ta machine, le temps que fail2ban réagisse te système sera peut-être déjà bloqué. D'autre part fail2ban ne réagira que si un filtre correspond au type d'attaque. Enfin une attaque DDOS peut être issue de nombreuses IP différentes (botnet) et là fail2ban sera totalement inefficace.

Pour les attaques par SYN flood que tu évoques au début, tu peux empêcher cela avec le fichier /etc/sysctl.conf :

net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_max_syn_backlog = 1024 

Hors ligne

#17 Le 20/11/2013, à 10:40

Ippo69

Re : Détecter des DDOS

Oui mais dans le tuto que j'ai trouvé, ils me disent de modifier le fichier jail.conf.

Je le met où ton code?

J'ai ça dans mon ifchier sysctl.conf:

#
# /etc/sysctl.conf - Configuration file for setting system variables
# See /etc/sysctl.d/ for additonal system variables
# See sysctl.conf (5) for information.
#

#kernel.domainname = example.com

# Uncomment the following to stop low-level messages on console
#kernel.printk = 3 4 1 3

##############################################################3
# Functions previously found in netbase
#

# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
#net.ipv4.conf.default.rp_filter=1
#net.ipv4.conf.all.rp_filter=1

# Uncomment the next line to enable TCP/IP SYN cookies
# See http://lwn.net/Articles/277146/
# Note: This may impact IPv6 TCP sessions too
#net.ipv4.tcp_syncookies=1

# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1

# Uncomment the next line to enable packet forwarding for IPv6
#  Enabling this option disables Stateless Address Autoconfiguration
#  based on Router Advertisements for this host
#net.ipv6.conf.all.forwarding=1


###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
#net.ipv4.conf.all.accept_source_route = 0
#net.ipv6.conf.all.accept_source_route = 0
#
# Log Martian Packets
#net.ipv4.conf.all.log_martians = 1
#

Dernière modification par Ippo69 (Le 20/11/2013, à 10:41)

Hors ligne

#18 Le 20/11/2013, à 10:59

bruno

Re : Détecter des DDOS

Tu fais davantage confiance à un tuto trouvé on ne soit où, qu'aux développeurs Debian ?
Au début du fichier jail.conf :

# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#

Pour le fichier sysctl.conf cela n'a pas d'importance (enfin il suffit de lire ce qu'il y a dans le fichier…)

Hors ligne

#19 Le 24/11/2013, à 11:11

Ippo69

Re : Détecter des DDOS

Au début du fichier jail.conf :

# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#

J'ai rien compris

Hors ligne

#20 Le 24/11/2013, à 12:18

jplemoine

Re : Détecter des DDOS

# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#

Pour éviter de gérer les fusions NE PAS MODIFIER CE FICHIER
et faites plutôt vos changements dans /etc/fail2ban/jail.local


Cordialement, Jean-Philippe.
Système principal Sous Ubuntu de 2009 à février 2015 - Xubuntu depuis.
Xubuntu 14.04 - Xbuntu 16.04 (poste principal portable) - Ubuntu 14.04 server (desktop converti en serveur DHCP, DNS, dépôt local et supervision (icinga-shinken))
Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)

Hors ligne