Discussion :

[copro]

Bonjour,
dans le but de sécuriser mon réseau et le rendre plus performant j'ai fait quelques tests. Mon réseau utilise un serveur de domaine sous Kwartz. J'ai testé quelques applis, dont une qui fait planter mon serveur. Je ne vais pas vous citer cette appli (en accès libre sur le net et sur un site sérieux pour des raisons de tests et d'apprentissage) de peut qu'elle soit utilisée à mauvais escient par quelqu'un.
Il s'agit d'une appli sous dos qui lance des sessions sur un port choisit en option.
Le soucis est le suivant:
je lance top sur mon serveur en console, je visualise donc mes process'.
Je lance l'appli avec comme option le port 139.
Il faut à peine 1 minute pour planter le serveur; des processus smbd se lancent en boucle....la suite on la connaît.

J'analyse mes trames réseau. Je constate que cette appli envoie une trame comprenant un en-tête TCP avec les flags ACK=1 et RST=1. Ce qui ne correspond à rien dans les communications Tcp. Mais ça fait planter le serveur.

Alors bien sûr, je pourrais omettre ce problème qui ne s'est jamais produit réellement....mais il suffit qu'un jour un petit malin tombe sur ce genre d'appli et finisse par s'amuser pour faire planter le serveur. Et là, tout l'établissement sera bloqué !

Mais je préfère jouer la prévention et protéger mon serveur en bloquant ce type de communication. Alors comment faire ?
- dois-je me tourner vers un script qui décode les flags et bloque ce type de com' ?
- dois-je faire une appli en C qui analyse la trame et empêche le lancement de proces' smbd ?
- ou autre chose ?

merci de votre aide.

[gangsoleil]

Bonjour,

Je ne suis pas certain de bien comprendre : vous avez un serveur, sur lequel vous installez l'application X. Lorsque celle-ci tourne, elle fait planter le serveur, en une minute.

Si vous n'installez pas cette application, dont vous n'avez a priori pas besoin, je ne vois pas quel est le risque ? A moins que je n'ai pas bien compris ?

[dokho]

je crois qu'il cherche plutôt comment se protéger d'une attaque DoS ou DDoS, en utilisant un utilitaire qui crée des connexions à "l'infini" sur un port configurable. En l'occurence celui de Netbios/samba.

regarde ici en adaptant le port (80 dans l'exemple), tu auras déjà quelques protection de bases

tu peux aussi regarder du côté de ulimit pour limiter le nombre de connexion.

A+

[copro]

Tout à fait dokho et merci d'avoir expliqué mon problème que j'ai peut-être mal exprimé. En effet, une certaine appli sous dos pourrait créer un Ddos sur mon serveur.
Merci pour le lien, je vais étudier ça.