Contrer syn flood + spoofing ip

harima · 30/03/2008, 21h32

Bonjour.

J'ai un dédié de chez OVH START 100M.

Après avoir contré des flood DDoS je me fais syn flood ( et en plus de ça le syn flood est dissimulé par un spoofing ip ) .

Avec un petit netstat -a inet j'ai un truc dans le genre :

15 syn flood sur le port 5121 ( port différents et ip différentes )
15 syn flood sur le port 6121 ( port différents et ip différentes )
+ 200 voir plus syn flood sur le port 80 ( ports différents et ip différentes )

Résultat :

Lag + perte de packets sur les applications qui utilisent le port 5121, 6121 et www ( le site donc ) et même en SSH sous putty, d'ailleurs je ne dirais pas que c'est du lag car tout devient indisponible.

N'étant pas calé dans le milieu, j'ai demandé à un ami qui est assez calé dans le domaine, mais malheureusement à cause du spoofing ip on ne peut pas remonter à la source.

Donc quelqu'un à t-il déjà eu la même expérience ? Comment contrer ce genre d'attaque ?

PS :

1/ Je suis sous debian 4 et j'utilise ssh via putty.
2/ En faisant tcpdump je ne recois aucun paquet ou c'est que c'est tellement lent que les packets n'arrivent pas... ?

gorgonite · 01/04/2008, 21h17

as-tu essayé cela ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo 1 > /pros/sys/net/ipv4/tcp_syncookies

harima · 02/04/2008, 12h40

Oui c'est déjà fait malheureusement

gorgonite · 02/04/2008, 12h46

va sans doute falloir de construire l'équivalent de tcpdump, mais au niveau IP

http://search.cpan.org/dist/Net-RawIP/lib/Net/RawIP.pm

30/03/2008, 21h32	#1
harima Invité de passage Inscription : mars 2008 Messages : 10 Détails du profil Informations forums : Inscription : mars 2008 Messages : 10 Points : 0 Points : 0	Contrer syn flood + spoofing ip Bonjour. J'ai un dédié de chez OVH START 100M. Après avoir contré des flood DDoS je me fais syn flood ( et en plus de ça le syn flood est dissimulé par un spoofing ip ) . Avec un petit netstat -a inet j'ai un truc dans le genre : 15 syn flood sur le port 5121 ( port différents et ip différentes ) 15 syn flood sur le port 6121 ( port différents et ip différentes ) + 200 voir plus syn flood sur le port 80 ( ports différents et ip différentes ) Résultat : Lag + perte de packets sur les applications qui utilisent le port 5121, 6121 et www ( le site donc ) et même en SSH sous putty, d'ailleurs je ne dirais pas que c'est du lag car tout devient indisponible. N'étant pas calé dans le milieu, j'ai demandé à un ami qui est assez calé dans le domaine, mais malheureusement à cause du spoofing ip on ne peut pas remonter à la source. Donc quelqu'un à t-il déjà eu la même expérience ? Comment contrer ce genre d'attaque ? PS : 1/ Je suis sous debian 4 et j'utilise ssh via putty. 2/ En faisant tcpdump je ne recois aucun paquet ou c'est que c'est tellement lent que les packets n'arrivent pas... ?
	00

01/04/2008, 21h17	#2
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	as-tu essayé cela ? Code : Sélectionner tout - Visualiser dans une fenêtre à part echo 1 > /pros/sys/net/ipv4/tcp_syncookies __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

02/04/2008, 12h46	#4
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	va sans doute falloir de construire l'équivalent de tcpdump, mais au niveau IP http://search.cpan.org/dist/Net-RawIP/lib/Net/RawIP.pm __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

02/04/2008, 12h40	#3
harima Invité de passage Inscription : mars 2008 Messages : 10 Détails du profil Informations forums : Inscription : mars 2008 Messages : 10 Points : 0 Points : 0	Oui c'est déjà fait malheureusement
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email