Bonjour,
 
Voilà je subis actuellement sur le réseau de la boite une attaque que je detecte en executant la commande tcpdump -n -i [nom de l'interface]
Je reçois des lignes du type :
 

 
Et cela en direction de toutes mes adresses IP publiques. mais du coup j'ai aussi mes adresses qui répondent vers l'adresse concernée.
Premier reflex je bloque l'adresse ip relevée en sortie et en entrée dans mon iptable.
En effet si je ne le fait pas, la bande passante sature vite et mes utilisateurs n'ont plus accès au web ainsi que les sites qui sont hébergés chez nous ne sont plus accessibles.
 
Malheureusement une fois une adresse bloquée le répit est de courte durée : l'attaque revient de plus belle sous une autre adresse....
 
J'ai lu quelques sujets là dessus en cherchant sur google mais malheureusement je n'ai pas trouvé de solution adaptée à mon cas.
 
Pour précisé mon firewall est sous Red Hat Enterprise Linux AS release 3 (Taroon Update 8) avec iptables v1.2.8
 
Je commence à désespérer et mes utilisateurs me harcèlent toute la journée    

T'as des DNS en open bar sur tes IP publiques ? Si tu es démuni face a ce genre d'attaques assez courante, je ne pense pas que c'est ce que tu voulais faire à la base.
 
Tu devrais tout simplement couper le dns sur tes IP externes.
 
Si tes serveurs hébergent volontairement du dns, alors tu devrais les configurer correctement (ne pas faire de résolution pour des domaines autres que le tien, limiter le débit sortant sur le port 53).
 
Tu pourrais aussi essayer de mieux matcher la requête dans iptables pour pouvoir la dropper quelle que soit l'IP source, par exemple en matchant une partie du contenu qui ne change pas.
 

Bien l'ancien admin avait mis en place à l'époque un serveur dns interne qui résolvé certains de nos noms de domaines. Mais maintenant ceux ci sont gérés par gandi sur les zones dns de gandi. J'ai pensé à bloquer le port 53 en entrée sur mes ip externes (gérées par mon interface eth3 sur le firewall) mais je me suis dit que cela pourrait peut être poser un soucis de résolution non ?

Si les DNS de tous tes domaines sont bien ceux de gandi, alors aucune raison que ca pose un souci.

oui oui ce sont bien ceux de gandi. Oui c'est vrai qu'en y pensant vu que c'est gandi qui résout le nom et le dirige uniquement vers l'adresse ip... c'est logique. Je vais tester.

Alors j'ai fait iptabels -A INTPUT -p tcp --dport 53 -j DROP mais j'ai toujours les mêmes lignes qui ressortent lors de mon tcpdump....

Tu devrais couper en UDP, les attaques de ce genre n'arrivent pas en TCP mais en UDP pour pouvoir spoofer l'ip source.

Nop, toujours mes lignes enfin j'ai l'impressions que celles ci changent un peu :  
 

Logiquement tu dois toujours voir les paquets en arrivée dans tcpdump, par contre étant donné qu'ils sont droppés ensuite par iptables ton serveur dns lui ne les verra pas et n'y répondra pas.
 
Normalement les attaques devraient diminuer au fur et a mesure.

Oui effectivement il n'y a pas de réponses envoyées, je n'avais pas fait attention. Je te remercie beaucoup tu m'as enlevé une épine du pied