Contrer syn flood + spoofing ip

harima · 30/03/2008, 21h32

Bonjour.

J'ai un dédié de chez OVH START 100M.

Après avoir contré des flood DDoS je me fais syn flood ( et en plus de ça le syn flood est dissimulé par un spoofing ip ) .

Avec un petit netstat -a inet j'ai un truc dans le genre :

15 syn flood sur le port 5121 ( port différents et ip différentes )
15 syn flood sur le port 6121 ( port différents et ip différentes )
+ 200 voir plus syn flood sur le port 80 ( ports différents et ip différentes )

Résultat :

Lag + perte de packets sur les applications qui utilisent le port 5121, 6121 et www ( le site donc ) et même en SSH sous putty, d'ailleurs je ne dirais pas que c'est du lag car tout devient indisponible.

N'étant pas calé dans le milieu, j'ai demandé à un ami qui est assez calé dans le domaine, mais malheureusement à cause du spoofing ip on ne peut pas remonter à la source.

Donc quelqu'un à t-il déjà eu la même expérience ? Comment contrer ce genre d'attaque ?

PS :

1/ Je suis sous debian 4 et j'utilise ssh via putty.
2/ En faisant tcpdump je ne recois aucun paquet ou c'est que c'est tellement lent que les packets n'arrivent pas... ?

gorgonite · 01/04/2008, 21h17

as-tu essayé cela ?

Code :

echo 1 > /pros/sys/net/ipv4/tcp_syncookies

harima · 02/04/2008, 12h40

Oui c'est déjà fait malheureusement

gorgonite · 02/04/2008, 12h46

va sans doute falloir de construire l'équivalent de tcpdump, mais au niveau IP

http://search.cpan.org/dist/Net-RawIP/lib/Net/RawIP.pm

30/03/2008, 21h32	#1 (permalink)
harima Invité régulier Date d'inscription: mars 2008 Messages: 10	Contrer syn flood + spoofing ip Bonjour. J'ai un dédié de chez OVH START 100M. Après avoir contré des flood DDoS je me fais syn flood ( et en plus de ça le syn flood est dissimulé par un spoofing ip ) . Avec un petit netstat -a inet j'ai un truc dans le genre : 15 syn flood sur le port 5121 ( port différents et ip différentes ) 15 syn flood sur le port 6121 ( port différents et ip différentes ) + 200 voir plus syn flood sur le port 80 ( ports différents et ip différentes ) Résultat : Lag + perte de packets sur les applications qui utilisent le port 5121, 6121 et www ( le site donc ) et même en SSH sous putty, d'ailleurs je ne dirais pas que c'est du lag car tout devient indisponible. N'étant pas calé dans le milieu, j'ai demandé à un ami qui est assez calé dans le domaine, mais malheureusement à cause du spoofing ip on ne peut pas remonter à la source. Donc quelqu'un à t-il déjà eu la même expérience ? Comment contrer ce genre d'attaque ? PS : 1/ Je suis sous debian 4 et j'utilise ssh via putty. 2/ En faisant tcpdump je ne recois aucun paquet ou c'est que c'est tellement lent que les packets n'arrivent pas... ?

01/04/2008, 21h17	#2 (permalink)
gorgonite Responsable rubrique générale Date d'inscription: décembre 2005 Localisation: Gorgon-Paradise Âge: 24 Messages: 8 082	as-tu essayé cela ? Code : echo 1 > /pros/sys/net/ipv4/tcp_syncookies __________________ Evitez les MP pour les questions techniques... il y a des forums Modérateur Linux, Serveurs, Programmation fonctionnelle Mes Tutos \| Mon Blog Vous souhaitez contribuer à la rubrique Autres langages, contactez-moi. attention je mords ou je chevauche

02/04/2008, 12h46	#4 (permalink)
gorgonite Responsable rubrique générale Date d'inscription: décembre 2005 Localisation: Gorgon-Paradise Âge: 24 Messages: 8 082	va sans doute falloir de construire l'équivalent de tcpdump, mais au niveau IP http://search.cpan.org/dist/Net-RawIP/lib/Net/RawIP.pm __________________ Evitez les MP pour les questions techniques... il y a des forums Modérateur Linux, Serveurs, Programmation fonctionnelle Mes Tutos \| Mon Blog Vous souhaitez contribuer à la rubrique Autres langages, contactez-moi. attention je mords ou je chevauche

02/04/2008, 12h40	#3 (permalink)
harima Invité régulier Date d'inscription: mars 2008 Messages: 10	Oui c'est déjà fait malheureusement

		Forum des développeurs > Hardware, Systèmes et Logiciels > Linux > Sécurité
Contrer syn flood + spoofing ip

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email