Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2733 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  DDoS sur mon serveur

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

DDoS sur mon serveur

n°109086
0xyd3
Posté le 03-04-2013 à 13:45:05  profilanswer
 

Bonjour,
 
Je suis victime de DDoS sur mon serveur. Dans un premier temps j'ai établie des règles strictes iptables mais rien n'y fait.
Je suis à court d'idée pour l'instant. Je vous laisse admirer une capture de paquets:
 
http://dropproxy.com/f/1C2
 
 
Bonne journée :)


Message édité par 0xyd3 le 03-04-2013 à 14:32:53
mood
Publicité
Posté le 03-04-2013 à 13:45:05  profilanswer
 

n°109090
networkinf​o
Posté le 03-04-2013 à 14:59:06  profilanswer
 

l'iptables ne réglera rien  
Ya cloudflare sinon
 
Je sais pas si y a d'autres choses, je suis preneur aussi

n°109091
0xyd3
Posté le 03-04-2013 à 15:00:13  profilanswer
 

Ce n'est pas un serveur web malheureusement mais VoIP.

n°109092
networkinf​o
Posté le 03-04-2013 à 15:01:04  profilanswer
 

chez toi?

n°109093
0xyd3
Posté le 03-04-2013 à 15:07:07  profilanswer
 

Non c'est un petit dédié

n°109094
0xyd3
Posté le 03-04-2013 à 15:08:25  profilanswer
 

En tout cas j'ai ciblé le type de DDoS: reflected distributed denial of service

n°109095
akizan
Eye Sca Zi
Posté le 03-04-2013 à 15:09:31  profilanswer
 

J'y comprends rien, tu peux expliquer un peu plus ce qui se passe sur la capture d'écran, sur ton analyse du problème STP ^^

n°109097
0xyd3
Posté le 03-04-2013 à 15:17:11  profilanswer
 

Sur la capture on voit des requêtes DNS à destination de mon serveur avec des ips du monde entier. Et c'est un petit aperçu d'une seul seconde.

n°109098
ShonGail
En phase de calmitude ...
Posté le 03-04-2013 à 15:30:08  profilanswer
 

Et ton serveur, il répond sur DNS ?

n°109100
0xyd3
Posté le 03-04-2013 à 15:44:31  profilanswer
 

mon serveur n'accepte pas les requêtes en entré DNS théoriquement.

mood
Publicité
Posté le 03-04-2013 à 15:44:31  profilanswer
 

n°109101
bardiel
Debian powa !
Posté le 03-04-2013 à 15:44:31  profilanswer
 

networkinfo a écrit :

l'iptables ne réglera rien


En faisant un drop de tout ce qui n'est pas à traiter, ça peut se faire [:spamatounet] mais c'est brutale comme méthode.
Pour un serveur sous Apache, il reste bien le mod_evasive, mais il a tendance à passer en "mod_panique_je_jette_tout" si le serveur en question reçois d'un coup pas mal de visiteurs suite à un buzz... et ce n'est pas adapté à un serveur qui héberge un service de VoIP.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°109102
0xyd3
Posté le 03-04-2013 à 15:49:05  profilanswer
 

J'ai déjà des règles très strictes: http://dropproxy.com/f/1C3

n°109104
ShonGail
En phase de calmitude ...
Posté le 03-04-2013 à 15:59:07  profilanswer
 

0xyd3 a écrit :

mon serveur n'accepte pas les requêtes en entré DNS théoriquement.


 
 
Ok et pratiquement ?

n°109105
0xyd3
Posté le 03-04-2013 à 16:08:01  profilanswer
 

Il ne les acceptes pas mais c'est iptables qui les rejette donc les paquets arrivent sur la machine quand même.  
Après je ne sais pas trop ce qu'il se passe. Si le parefeu est submergé ou la bande passante mais elle n’excède pas 60 mb/s sur 100.  
Néanmoins, aucun service nest accessible durant l'attaque et le serv ne réponds plus au ping

n°109106
networkinf​o
Posté le 03-04-2013 à 16:10:14  profilanswer
 

ton apache qui est dépassé? t'as regardé les performances de ta machine?

n°109107
0xyd3
Posté le 03-04-2013 à 16:13:50  profilanswer
 

Je n'héberge pas de serveur web c'est du VoIP. Je n'arrive pas à accéder à ma machine pendant l'attaque le mois prochain je prends un failover pour éviter ça.
Sinon la machine logs tout de même mais je ne sais pas si elle est à genoux.

n°109133
o'gure
Multi grognon de B_L
Posté le 03-04-2013 à 20:14:34  profilanswer
 

Lis déjà ce topic:
http://forum.hardware.fr/hfr/resea [...] 6340_1.htm
 
iptables ou pas iptables, le traffic arrivera à la machine et remplira le lien.


---------------
Ton Antoine commence à me les briser menus !
n°109134
o'gure
Multi grognon de B_L
Posté le 03-04-2013 à 20:15:28  profilanswer
 

0xyd3 a écrit :

JSinon la machine logs tout de même mais je ne sais pas si elle est à genoux.


Logger tout n'est pas forcément une bonne idée...
tu risques de saturer ton disque et ne plus être capable de faire quoique ce soit


---------------
Ton Antoine commence à me les briser menus !
n°110081
mirobolant
Posté le 24-04-2013 à 15:00:08  profilanswer
 

Salut Oxyd3,
 
Je vois que ce post n'a pas eu de reply depuis 3 semaines, mais j'avais tout de même des choses à dire sur ton problème.
 
Je travaille chez un opérateur VoIP actuellement, et suis responsable de la sécurité réseau.
 
Nous ici, nous nous sommes vite rendus compte que de ne pas contrôler le flux avant la couche 3 représentait déjà un problème.
Parce que le paquet arrive dans ton IPTABLE ou ton fail2ban et c'est ton serveur de prod qui doit le gérer.
Lors d'un DDos, ton serveur doit d'une part gérer le flux massif de l'attaque, et d'autre part permettre au trafic légitime d'utiliser le service.
Tu comprends vite la limite...
 
Pour pallier ce problème, nous avons donc mis en place des sondes matérielles type IPS, qui analysent la trame de la couche 1 à 7 et drop en fonction des settings qu'on lui a entré.
 
C'est une solution plutôt coûteuse, certes, mais on sait que la VoIP est une activité qui attire beaucoup de fraudeurs (4,96 milliards de $ en 2011).
 
Tout dépend des dimensions de ton activité VoIP.
 
Pour une petite activité et des coûts réduits, il faudrait rester en filtrage software, mais avec un serveur frontal dédié au filtrage.
Par contre il faut en prendre un plutôt costaud car si il est saturé, personne ne pourra accéder même légitimement à ton serveur de prod.
 
Voilou


Message édité par mirobolant le 24-04-2013 à 15:07:16

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  DDoS sur mon serveur

 

Sujets relatifs
Sujet : Securité des Accés Terminal serveurServeur DHCP supplémentaire sur LAN de nos clients
Quota Windows serveur 2003Effacer données d'un serveur
[RESOLU] Simuler un crash d'un serveur Active Directory.RAID 5: changer de serveur en gardant le RAID
ISS Technologie et Proliant Serveurpanne de serveur et routage
OpenVPN Serveur Pb Démarrage 
Plus de sujets relatifs à : DDoS sur mon serveur


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR