protéger les demandes de connexion "fausses"

copro · 26/01/2012, 12h34

Bonjour,
dans le but de sécuriser mon réseau et le rendre plus performant j'ai fait quelques tests. Mon réseau utilise un serveur de domaine sous Kwartz. J'ai testé quelques applis, dont une qui fait planter mon serveur. Je ne vais pas vous citer cette appli (en accès libre sur le net et sur un site sérieux pour des raisons de tests et d'apprentissage) de peut qu'elle soit utilisée à mauvais escient par quelqu'un.
Il s'agit d'une appli sous dos qui lance des sessions sur un port choisit en option.
Le soucis est le suivant:
je lance top sur mon serveur en console, je visualise donc mes process'.
Je lance l'appli avec comme option le port 139.
Il faut à peine 1 minute pour planter le serveur; des processus smbd se lancent en boucle....la suite on la connaît.

J'analyse mes trames réseau. Je constate que cette appli envoie une trame comprenant un en-tête TCP avec les flags ACK=1 et RST=1. Ce qui ne correspond à rien dans les communications Tcp. Mais ça fait planter le serveur.

Alors bien sûr, je pourrais omettre ce problème qui ne s'est jamais produit réellement....mais il suffit qu'un jour un petit malin tombe sur ce genre d'appli et finisse par s'amuser pour faire planter le serveur. Et là, tout l'établissement sera bloqué !

Mais je préfère jouer la prévention et protéger mon serveur en bloquant ce type de communication. Alors comment faire ?
- dois-je me tourner vers un script qui décode les flags et bloque ce type de com' ?
- dois-je faire une appli en C qui analyse la trame et empêche le lancement de proces' smbd ?
- ou autre chose ?

merci de votre aide.

gangsoleil · 26/01/2012, 13h14

Bonjour,

Je ne suis pas certain de bien comprendre : vous avez un serveur, sur lequel vous installez l'application X. Lorsque celle-ci tourne, elle fait planter le serveur, en une minute.

Si vous n'installez pas cette application, dont vous n'avez a priori pas besoin, je ne vois pas quel est le risque ? A moins que je n'ai pas bien compris ?

dokho · 26/01/2012, 13h55

je crois qu'il cherche plutôt comment se protéger d'une attaque DoS ou DDoS, en utilisant un utilitaire qui crée des connexions à "l'infini" sur un port configurable. En l'occurence celui de Netbios/samba.

regarde ici en adaptant le port (80 dans l'exemple), tu auras déjà quelques protection de bases

tu peux aussi regarder du côté de ulimit pour limiter le nombre de connexion.

A+

copro · 26/01/2012, 15h42

Tout à fait dokho et merci d'avoir expliqué mon problème que j'ai peut-être mal exprimé. En effet, une certaine appli sous dos pourrait créer un Ddos sur mon serveur.
Merci pour le lien, je vais étudier ça.

26/01/2012, 12h34	#1
copro Membre du Club Emmanuel Administrateur systèmes et réseaux Inscription : décembre 2003 Messages : 153 Détails du profil Informations personnelles : Nom : Emmanuel Âge : 41 Localisation : Cameroun Informations professionnelles : Activité : Administrateur systèmes et réseaux Secteur : Enseignement Informations forums : Inscription : décembre 2003 Messages : 153 Points : 53 Points : 53	protéger les demandes de connexion "fausses" Bonjour, dans le but de sécuriser mon réseau et le rendre plus performant j'ai fait quelques tests. Mon réseau utilise un serveur de domaine sous Kwartz. J'ai testé quelques applis, dont une qui fait planter mon serveur. Je ne vais pas vous citer cette appli (en accès libre sur le net et sur un site sérieux pour des raisons de tests et d'apprentissage) de peut qu'elle soit utilisée à mauvais escient par quelqu'un. Il s'agit d'une appli sous dos qui lance des sessions sur un port choisit en option. Le soucis est le suivant: je lance top sur mon serveur en console, je visualise donc mes process'. Je lance l'appli avec comme option le port 139. Il faut à peine 1 minute pour planter le serveur; des processus smbd se lancent en boucle....la suite on la connaît. J'analyse mes trames réseau. Je constate que cette appli envoie une trame comprenant un en-tête TCP avec les flags ACK=1 et RST=1. Ce qui ne correspond à rien dans les communications Tcp. Mais ça fait planter le serveur. Alors bien sûr, je pourrais omettre ce problème qui ne s'est jamais produit réellement....mais il suffit qu'un jour un petit malin tombe sur ce genre d'appli et finisse par s'amuser pour faire planter le serveur. Et là, tout l'établissement sera bloqué ! Mais je préfère jouer la prévention et protéger mon serveur en bloquant ce type de communication. Alors comment faire ? - dois-je me tourner vers un script qui décode les flags et bloque ce type de com' ? - dois-je faire une appli en C qui analyse la trame et empêche le lancement de proces' smbd ? - ou autre chose ? merci de votre aide.
	00

26/01/2012, 13h14	#2
gangsoleil Modérateur R&D en systemes informatiques bas niveau Unix/Linux Inscription : mai 2004 Messages : 5 497 Détails du profil Informations personnelles : Âge : 31 Localisation : France, Isère (Rhône Alpes) Informations professionnelles : Activité : R&D en systemes informatiques bas niveau Unix/Linux Informations forums : Inscription : mai 2004 Messages : 5 497 Points : 9 672 Points : 9 672	Bonjour, Je ne suis pas certain de bien comprendre : vous avez un serveur, sur lequel vous installez l'application X. Lorsque celle-ci tourne, elle fait planter le serveur, en une minute. Si vous n'installez pas cette application, dont vous n'avez a priori pas besoin, je ne vois pas quel est le risque ? A moins que je n'ai pas bien compris ? __________________ Modérateur "C", "Informatique Générale & Hardware" et "Unix" Les règles du forum
	10

26/01/2012, 13h55	#3
dokho Membre actif Inscription : avril 2004 Messages : 91 Détails du profil Informations personnelles : Sexe : Âge : 32 Localisation : France, Haute Garonne (Midi Pyrénées) Informations forums : Inscription : avril 2004 Messages : 91 Points : 154 Points : 154	je crois qu'il cherche plutôt comment se protéger d'une attaque DoS ou DDoS, en utilisant un utilitaire qui crée des connexions à "l'infini" sur un port configurable. En l'occurence celui de Netbios/samba. regarde ici en adaptant le port (80 dans l'exemple), tu auras déjà quelques protection de bases tu peux aussi regarder du côté de ulimit pour limiter le nombre de connexion. A+ __________________ First, they ignore you. Then, they laught at you.Then, they fight you. Then, you win. Mohandas Gandhi
	00

26/01/2012, 15h42	#4
copro Membre du Club Emmanuel Administrateur systèmes et réseaux Inscription : décembre 2003 Messages : 153 Détails du profil Informations personnelles : Nom : Emmanuel Âge : 41 Localisation : Cameroun Informations professionnelles : Activité : Administrateur systèmes et réseaux Secteur : Enseignement Informations forums : Inscription : décembre 2003 Messages : 153 Points : 53 Points : 53	Tout à fait dokho et merci d'avoir expliqué mon problème que j'ai peut-être mal exprimé. En effet, une certaine appli sous dos pourrait créer un Ddos sur mon serveur. Merci pour le lien, je vais étudier ça.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email