Bonjour,
J'ai une dedibox chez Online, depuis quelque temps le serveur se fait attaquer.
Les vagues durent à peu près 1h, d'abord 40mbit/s puis après 4mbit/s.
Le plus étonnant est que le serveur ne ping plus avec seulement 4mbit/s...
Pendant les attaques, j'ai des pics de charge 6x la valeur habituelle.
Un netstat m'indique 15 connexion en état de SYN (pas assez pour pourrir la machine selon moi)
Après consultation des logs (syslog et autres) je relève :
Sur ce port tourne un serveur d'authentification pour un protocole propriétaire.SYN flood probably on port X
Pensant à un synflood j'ai donc blindé la config iptables :
Tout est drop par defaut et j'ouvre chaque port
J'ajoute aussi des restrictions (trouvées sur le net) :
- Nombre de connexion/IP
- DROP packets malformés
Mais j'ai aussi activé certains paramètres comme décrit ici
Je suis à court d'idée pour endiguer ce ddos...
Et la BP consommé est ridicule pourtant ! Le bot Online ne daigne même pas suspendre mon serveur pour flood !
Des idées ?
Merci d'avance
Partager