DDoS sur mon serveur - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 03-04-2013 à 14:59:06
l'iptables ne réglera rien
Ya cloudflare sinon
Je sais pas si y a d'autres choses, je suis preneur aussi
Marsh Posté le 03-04-2013 à 15:08:25
En tout cas j'ai ciblé le type de DDoS: reflected distributed denial of service
Marsh Posté le 03-04-2013 à 15:09:31
J'y comprends rien, tu peux expliquer un peu plus ce qui se passe sur la capture d'écran, sur ton analyse du problème STP ^^
Marsh Posté le 03-04-2013 à 15:17:11
Sur la capture on voit des requêtes DNS à destination de mon serveur avec des ips du monde entier. Et c'est un petit aperçu d'une seul seconde.
Marsh Posté le 03-04-2013 à 15:44:31
ReplyMarsh Posté le 03-04-2013 à 15:44:31
networkinfo a écrit : l'iptables ne réglera rien |
En faisant un drop de tout ce qui n'est pas à traiter, ça peut se faire mais c'est brutale comme méthode.
Pour un serveur sous Apache, il reste bien le mod_evasive, mais il a tendance à passer en "mod_panique_je_jette_tout" si le serveur en question reçois d'un coup pas mal de visiteurs suite à un buzz... et ce n'est pas adapté à un serveur qui héberge un service de VoIP.
Marsh Posté le 03-04-2013 à 15:49:05
J'ai déjà des règles très strictes: http://dropproxy.com/f/1C3
Marsh Posté le 03-04-2013 à 15:59:07
0xyd3 a écrit : mon serveur n'accepte pas les requêtes en entré DNS théoriquement. |
Ok et pratiquement ?
Marsh Posté le 03-04-2013 à 16:08:01
Il ne les acceptes pas mais c'est iptables qui les rejette donc les paquets arrivent sur la machine quand même.
Après je ne sais pas trop ce qu'il se passe. Si le parefeu est submergé ou la bande passante mais elle n’excède pas 60 mb/s sur 100.
Néanmoins, aucun service nest accessible durant l'attaque et le serv ne réponds plus au ping
Marsh Posté le 03-04-2013 à 16:10:14
ton apache qui est dépassé? t'as regardé les performances de ta machine?
Marsh Posté le 03-04-2013 à 16:13:50
Je n'héberge pas de serveur web c'est du VoIP. Je n'arrive pas à accéder à ma machine pendant l'attaque le mois prochain je prends un failover pour éviter ça.
Sinon la machine logs tout de même mais je ne sais pas si elle est à genoux.
Marsh Posté le 03-04-2013 à 20:14:34
Lis déjà ce topic:
http://forum.hardware.fr/hfr/resea [...] 6340_1.htm
iptables ou pas iptables, le traffic arrivera à la machine et remplira le lien.
Marsh Posté le 03-04-2013 à 20:15:28
0xyd3 a écrit : JSinon la machine logs tout de même mais je ne sais pas si elle est à genoux. |
Logger tout n'est pas forcément une bonne idée...
tu risques de saturer ton disque et ne plus être capable de faire quoique ce soit
Marsh Posté le 24-04-2013 à 15:00:08
Salut Oxyd3,
Je vois que ce post n'a pas eu de reply depuis 3 semaines, mais j'avais tout de même des choses à dire sur ton problème.
Je travaille chez un opérateur VoIP actuellement, et suis responsable de la sécurité réseau.
Nous ici, nous nous sommes vite rendus compte que de ne pas contrôler le flux avant la couche 3 représentait déjà un problème.
Parce que le paquet arrive dans ton IPTABLE ou ton fail2ban et c'est ton serveur de prod qui doit le gérer.
Lors d'un DDos, ton serveur doit d'une part gérer le flux massif de l'attaque, et d'autre part permettre au trafic légitime d'utiliser le service.
Tu comprends vite la limite...
Pour pallier ce problème, nous avons donc mis en place des sondes matérielles type IPS, qui analysent la trame de la couche 1 à 7 et drop en fonction des settings qu'on lui a entré.
C'est une solution plutôt coûteuse, certes, mais on sait que la VoIP est une activité qui attire beaucoup de fraudeurs (4,96 milliards de $ en 2011).
Tout dépend des dimensions de ton activité VoIP.
Pour une petite activité et des coûts réduits, il faudrait rester en filtrage software, mais avec un serveur frontal dédié au filtrage.
Par contre il faut en prendre un plutôt costaud car si il est saturé, personne ne pourra accéder même légitimement à ton serveur de prod.
Voilou
Marsh Posté le 03-04-2013 à 13:45:05
Bonjour,
Je suis victime de DDoS sur mon serveur. Dans un premier temps j'ai établie des règles strictes iptables mais rien n'y fait.
Je suis à court d'idée pour l'instant. Je vous laisse admirer une capture de paquets:
http://dropproxy.com/f/1C2
Bonne journée
Message édité par 0xyd3 le 03-04-2013 à 14:32:53