Bonjour,
Voilà je subis actuellement sur le réseau de la boite une attaque que je detecte en executant la commande tcpdump -n -i [nom de l'interface]
Je reçois des lignes du type :
22:13:21.046496 141.101.127.88.http > 109.2.172.XX.domain: 37965+ [1au] ANY? isc.org. (36) |
Et cela en direction de toutes mes adresses IP publiques. mais du coup j'ai aussi mes adresses qui répondent vers l'adresse concernée.
Premier reflex je bloque l'adresse ip relevée en sortie et en entrée dans mon iptable.
En effet si je ne le fait pas, la bande passante sature vite et mes utilisateurs n'ont plus accès au web ainsi que les sites qui sont hébergés chez nous ne sont plus accessibles.
Malheureusement une fois une adresse bloquée le répit est de courte durée : l'attaque revient de plus belle sous une autre adresse....
J'ai lu quelques sujets là dessus en cherchant sur google mais malheureusement je n'ai pas trouvé de solution adaptée à mon cas.
Pour précisé mon firewall est sous Red Hat Enterprise Linux AS release 3 (Taroon Update 8) avec iptables v1.2.8
Je commence à désespérer et mes utilisateurs me harcèlent toute la journée