Ubuntu-fr

t55555

Tarpit

Bonsoir,

Je viens de découvrir un blog sur l'alliance de Iptables et de tarpit, disponible ici : Tarpit & Iptables.
D’après ce que j'ai compris ce logiciel permettrait de ralentir certaines attaques (après les avoir détecte avec Iptables) jusqu’à parfois même les bloquer totalement.
Le problème est que je ne comprend pas ceux qu'il dit au chapitre :"Tarpit : du goudron et des plumes" lorsqu'il parle de taille normale à la window tcp ou de window resizing.
Parle t-il d'un genre de cache de connexion tcp que chaque ordinateur garde pour pouvoir garder une communication active avec un serveur web ? La taille correspond à quoi alors ?

Je vous écrit directement le chapitre concernée :

" La règle TARPIT, et il existe d’autres moyens de faire cela évidemment, permet d’informer nos gentils PC zombies qu’ils sont priés d’attendre qu’on les recontacte avant de nous envoyer le prochain paquet réseau. Les machines Windows, comme la plupart des OS récents du reste, respecte le « window resizing ».

Quand on règle la fenêtre (window) de communication à une taille de zéro, la machine distante reste dans un état d’attente, jusqu’à ce que l’on remette une taille normale à la window TCP.

Mais que se passe t’il si l’on ne remet jamais la fenêtre à une taille normale ? Eh bien la machine reste en attente… Et c’est là que la solution se situe. La connexion se bloquera jusqu’à ce que l’OS fasse le ménage dans ses connexions inertes !

Ca peut prendre du temps… pas mal de temps en fait, quand bien même notre machine distante s’acharnerait en refaisant une connexion, à chaque nouvelle tentative, elle bloquera un peu plus sa propre « stack tcp », son propre système de gestion du réseau… Ca va prendre un peu de temps mais ca va bien ralentir l’attaque, d’autant plus que la plupart des machines ne réessayeront pas puisque la connexion n’est pas morte, elle est juste « en pause »."

Merci !

Brunod

Re : Tarpit

Ce n'est pas la taille des paquets tcp en entrée ?

---

Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Yann

Re : Tarpit

Perso je me suis dit "tu risques de remplir ta table conntrack comme ca" mais apparement d apres google:

If you use the conntrack module while you are using TARPIT, you should
also use the NOTRACK target,  or the kernel will unnecessarily allocate
resources for each TARPITted connection. To TARPIT incoming connections 
to the standard IRC port while using conntrack, you could:

T es sur d avoir besoin de ca? En general en cas de flood je droppe juste... peut etre que ca permettrait de limiter les paquets en entrée, mais bon.. T as vraiment besoin de ca? Tu bosses chez qui?

---

Et pourtant moi, jsuis pas du genre délicat,
Dans un coin de la musse, j'ai posé mon matelas - Paulo Anarkao

t55555

Re : Tarpit

Ce n'est pas la taille des paquets tcp en entrée ?

Oui peut-être. Cela veut donc dire que tout paquet reçu ayant une taille de 0 permettra de mettre une connexion tcp d'une machine Windows en attente, mais le window resizing est-il toujours d'actualités, n'y a t-il pas u de mises à jour pour remédier à ça ?

T es sur d avoir besoin de ca? En general en cas de flood je droppe juste... peut etre que ca permettrait de limiter les paquets en entrée, mais bon.. T as vraiment besoin de ca? Tu bosses chez qui? smile

Justement en se servant de cette outil j'éviterais au maximum de recevoir des paquets,  la machine zombie ou le script kiddies saturerez sa stack tcp en cas de nouvelle tentative de connexion,  ralentissant ainsi l'attaque où même mieux, mettant les connexion en pause.

Sinon je n'ai pas réellement besoin de ça pour une entreprise, je ne suis qu'un étudiant qui s'intéresse et qui cherche à monter un Fw capable de bloquer et d'empêcher un maximum d'attaque et pouvant servir à toute sorte d'entreprise (comme le détecteur de scanneur de port et la redirection vers des pots de miel pr les éditeurs d'anti-virus(enfin, j'avais penser à ça ...). N’hésitez pas pour les commentaires.