Comment detecter une attaque

**vodkline** · 21/10/2013, 20h57

Bonjour
je dispose d'un serveur qui reçoit beaucoup d'attaque qui le sature pour le rendre indisponible ....
j'ai une commande qui dans certain cas me permet de voir les attaque de type syn flood .

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

netstat -an  | grep "SYN"

mais elle ne detecte pas les autres attaques ... comment peut on detecter des attaques sur son serveur .

PS : mon serveur est sur debian 6

**messinese** · 22/10/2013, 09h17

Salut,

une solution serait de réaliser une capture de trame tcpdump ou wireshark et de l'analyser pour en savoir plus.

Cdlt.

**vodkline** · 22/10/2013, 11h37

c'est ce que je fais deja mais comment tu peux le voir a travers la capture Tcpdump

**n5Rzn1D9dC** · 22/10/2013, 11h39

De quelles attaques parles-tu ?

Il y a beaucoup d'attaque dos:
http://fr.wikipedia.org/wiki/Attaque...9ni_de_service

Perso je n'ai pas de serveur, je n'ai donc jamais trop cherché à me protéger de ce genre de choses, mais dans mon iptables, j'ai tout de même cette option:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
--tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "le-prefix-que-tu-veux" --log-level 6

**vodkline** · 22/10/2013, 12h24

je parles des attaque syn flood , les attaques ICMP etc qui vise a saturer un serveur

**n5Rzn1D9dC** · 22/10/2013, 14h14

Alors essaie l'option que je t'ai donné.

Pour le icmp, pareil. Ou tu peux carrément empêcher le reply.

**vodkline** · 22/10/2013, 15h03

voila mon firewall actuelle

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
#!/bin/sh

# R▒initialise les r▒gles
iptables -t filter -F
iptables -t filter -X

# Bloque tout le trafic
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# Autorise les connexions d▒j▒ ▒tablies et localhost
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# ICMP (Ping)
iptables -N ICMP
iptables -A ICMP -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A ICMP -p icmp --icmp-type source-quench -j ACCEPT
iptables -A ICMP -p icmp --icmp-type parameter-problem -j ACCEPT
iptables -A ICMP -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A ICMP -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A ICMP -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -j ICMP

# SSH
iptables -t filter -A INPUT -p tcp --dport 71 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 71 -j ACCEPT

#MYSQL
iptables -t filter -A INPUT -p tcp --dport 3306 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 3306 -j ACCEPT

# DNS
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

# HTTP
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT

# Mail SMTP
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT

# Mail POP3
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT

# Mail IMAP
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

# NTP (horloge du serveur)
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 123 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 123 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 123 -j ACCEPT
#Anti Scan de port
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#protection
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT

#spoffing
iptables -A INPUT -i venet0:0 -s 0.0.0.0/8 -j DROP
iptables -A INPUT -i venet0:0 -s 127.0.0.0/8 -j DROP
iptables -A INPUT -i venet0:0 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i venet0:0 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i venet0:0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i venet0:0 -s 224.0.0.0/3 -j DROP

#IP BLOCK
iptables -A INPUT -s 192.187.103.130 -j DROP
iptables -A INPUT -s 208.177.76.37 -j DROP
iptables -A INPUT -s 117.26.194.140 -j DROP
iptables -A INPUT -s 192.187.109.50 -j DROP
iptables -A INPUT -s 91.207.7.170 -j DROP

je ne vois pas ou mettre ton options

**n5Rzn1D9dC** · 23/10/2013, 02h43

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "iptables input" --log-level 6
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP

edit: Arf, il y a un truc qui me paraissait étrange, alors j'ai vérifié dans le man, et apparemment pour un log il faut deux lignes, une qui log, et une qui drop. Contrairement à sans log où il faut simplement une ligne avec -j ACCEPT. (ça fait un bail que je n'ai pas touché à mon filtre).

A voir comme ça, il me "semble" que la ligne "#Anti Scan de port" ne sert à rien, car elle limite les flag reset, mais en forward, donc dans le sens input vers ouput.
Et comme le reset est une réponse du kernel, output vers input, la filtrage sur le reset ne s'applique pas.

A confirmer par quelqu'un de plus expérimenté sur le sujet.

Ensuite je vois que tu n'as aucune règle de log, difficile dans ce cas de voir ce qui fonctionne, en dehors d'une capture réseau.

Exemple de log:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
-A INPUT -j LOG_FILTER
-A INPUT -j LOG --log-prefix "iptables input" --log-level 6

Tous les paquets bloqués en input seront loggé (à mettre sur chaque règle), et apparaissent ensuite dans les log kernel, donc pratique, grep (le log prefix).

A voir également si tu as les options netfilter necessaires dans le kernel.
J'ai justement eu le problème récemment en faisant un downgrade du kernel (3.8 vers 3.2) car ils ont changé le nom des options entre-temps.

Tu pourras trouver le nom des options necessaires facilement sur google. Mais normalement il me semble qu'elles sont activé par défaut sur les kernels par défaut (du moins sur Debian).

De toute façon, si tu n'as pas ces options, iptables ne voudra pas démarrer avec les options de log, donc tu le saura de suite.

Fait un test avec l'option que je t'ai donné, avec ou sans le log, mais ta question d'origine étant "comment détecter une attaque", le log est donc vraiment important, donc essait vraiment de l'activer.

Puis rajoute l'option de limit syn en input, et déplace le limit rst du forward en input également.