Discussion :

[harima]

Bonjour.

J'ai un dédié de chez OVH START 100M.


Après avoir contré des flood DDoS je me fais syn flood ( et en plus de ça le syn flood est dissimulé par un spoofing ip ) .


Avec un petit netstat -a inet j'ai un truc dans le genre :


15 syn flood sur le port 5121 ( port différents et ip différentes )
15 syn flood sur le port 6121 ( port différents et ip différentes )
+ 200 voir plus syn flood sur le port 80 ( ports différents et ip différentes )


Résultat :


Lag + perte de packets sur les applications qui utilisent le port 5121, 6121 et www ( le site donc ) et même en SSH sous putty, d'ailleurs je ne dirais pas que c'est du lag car tout devient indisponible.


N'étant pas calé dans le milieu, j'ai demandé à un ami qui est assez calé dans le domaine, mais malheureusement à cause du spoofing ip on ne peut pas remonter à la source.


Donc quelqu'un à t-il déjà eu la même expérience ? Comment contrer ce genre d'attaque ?


PS :

1/ Je suis sous debian 4 et j'utilise ssh via putty.
2/ En faisant tcpdump je ne recois aucun paquet ou c'est que c'est tellement lent que les packets n'arrivent pas... ?

[gorgonite]

as-tu essayé cela ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo 1 > /pros/sys/net/ipv4/tcp_syncookies

[harima]

Oui c'est déjà fait malheureusement

[gorgonite]

va sans doute falloir de construire l'équivalent de tcpdump, mais au niveau IP

http://search.cpan.org/dist/Net-RawIP/lib/Net/RawIP.pm