Discussion :

[iowa]

Bonjour,

J'ai une dedibox chez Online, depuis quelque temps le serveur se fait attaquer.
Les vagues durent à peu près 1h, d'abord 40mbit/s puis après 4mbit/s.

Le plus étonnant est que le serveur ne ping plus avec seulement 4mbit/s...
Pendant les attaques, j'ai des pics de charge 6x la valeur habituelle.
Un netstat m'indique 15 connexion en état de SYN (pas assez pour pourrir la machine selon moi)

Après consultation des logs (syslog et autres) je relève :

SYN flood probably on port X

Sur ce port tourne un serveur d'authentification pour un protocole propriétaire.

Pensant à un synflood j'ai donc blindé la config iptables :
Tout est drop par defaut et j'ouvre chaque port
J'ajoute aussi des restrictions (trouvées sur le net) :
- Nombre de connexion/IP
- DROP packets malformés

Mais j'ai aussi activé certains paramètres comme décrit ici

Je suis à court d'idée pour endiguer ce ddos...
Et la BP consommé est ridicule pourtant ! Le bot Online ne daigne même pas suspendre mon serveur pour flood !

Des idées ?
Merci d'avance

[alexnogard]

Pour bloquer les synflood, je te conseil d'installer fail2ban.
Ca te baniera automatiquement les IP qui te DDOS

[iowa]

Fail2ban était installé pendant les attaques.

[thierry.chich]

Il faudrait faire une trace, histoire de comprendre ce qui se passe, parce que 15 SYN ne font pas un déni de service, je suis bien d'accord avec toi.
Le débit n'est pas un critère, en revanche, dans le sens où il suffit de provoquer un épuisement du nombre de connexion TCP pour que ça fonctionne.
Pour ce qui est des IP sources, on ne peut que rarement faire quelque chose avec ça, dans la mesure où il est très facile de spoofer.
Une trace exploitable avec whireshark est indispensable, à ce niveau.

[iowa]

Je pourrais lancer un tcpdump quand la charge excède une certaine valeur, ca te semble bien ?

Merci