connexions en masse depuis ports source 80 et 443 (flood?)
Bonjour,
Excusez-moi pour l'expression mais elle a pris pas mal de sens pour moi cette après-midi : J'ai un problème à se tirer une balle dans la tête.
Je m'explique : les machines de mon LAN accèdent à internet via un petit serveur linux qui utilise iptables et bien d'autres outils pratiques pour le réseau. Cela tourne ainsi depuis plusieurs années.
Et cette après-midi il s'est passé quelque chose :
Mon pauvre firefox essuyait de nombreuses requêtes http échouées.
Je ne me souviens plus trop de mes recherches infructueuses mais j'ai finis par passer mes heures sur mon serveur et dans le syslog notamment car il se remplissait de DROP de iptables.
Les DROP sont presque tous des IP externes essayant des connexions sur mon LAN depuis les ports source 80 et 443 (http / https). A force d'identification, j'ai remarqué que la plupart étaient de propriété Google (??) mais j'en ai vue aussi d'intrigantes en provenance d'asie. Je ne me souviens pas avoir remarquer autant de rejets d'autant que j'ai pour habitude de jeter souvent un oeil à mes logs.
Voici un extrait du syslog en temps réel à ce post :
Nous avons d'abord 66.225.225.224 qui vient de tester X ports différents à gogo (qui c'est ça ?).
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
Ensuite 173.194.67.103 (GOOGLE) qui échoue sur des entrées de ports source 443 : et là je crois qu'il s'agit de Google Drive car c'est le seul soft qui ouvre une connexion locale sur ce port, je ne vois rien d'autre cependant ce qui m'étonne c'est que je n'ai jamais eu de problème avec lui, il fonctionne très bien alors pourquoi tous ces rejets subitement ? Et surtout...dois-je laisser passer ces requêtes entrantes ? Mmmmh....
A moins que je ne comprenne plus rien en réseau, les requêtes entrantes ayant pour ports source 80 ou 443 n'ont pas à être acceptées dans mon cas puisque JE m'intéresse plutôt aux destinations : j'ai en effet un serveur web régulièrement utilisé depuis l'extérieur (donc à destination du 80 pour l'extérieur) et sinon je surfe comme tout le monde (à destination du 80)...
Quant aux réponses elles me sont forwardées par iptables. Je n'accepte donc pas les INPUT.
D'autant que j'ai comparé mon iptables à un backup et rien n'a changé ! (c'est pourquoi je ne vous le post pas...)
Au bout de quelques heures d'acharnement...mon PC s'est finalement vu coupé de toute connexion, et j'ai alors remarqué que mon second PC (linux) lui, n'avait aucun problème. J'ai donc commencé à imaginer un problème de port sur un switch (l'un ayant déjà "sauté") et j'ai finalement changé de câble RJ45, bref...
Il est 23h00 et j'ai maintenant beaucoup moins d'alertes IPTABLES dans mon syslog...mais comme on le voit par l'extrait ci-dessus, il y a encore des cnx intrigantes.
Je reste complètement paumé, sauriez-vous ce qui a pu se passer ? Suis-je une victime de DDOS, flood autres ? Suis-je victime de Pebkac ?
Merci de votre aide.
Répondre avec citation
Envoyé par Obsidian
) que je lui avais soumis et qui l'avait immédiatement déconnecté d'internet via le célèbre écran bleu (mon ping continu vers son ip ne renvoyant plus de succès).
Partager