Bonjour,
 
Je suis victime de DDoS sur mon serveur. Dans un premier temps j'ai établie des règles strictes iptables mais rien n'y fait.
Je suis à court d'idée pour l'instant. Je vous laisse admirer une capture de paquets:
 
http://dropproxy.com/f/1C2
 
 
Bonne journée

l'iptables ne réglera rien  
Ya cloudflare sinon
 
Je sais pas si y a d'autres choses, je suis preneur aussi

Ce n'est pas un serveur web malheureusement mais VoIP.

chez toi?

Non c'est un petit dédié

En tout cas j'ai ciblé le type de DDoS: reflected distributed denial of service

J'y comprends rien, tu peux expliquer un peu plus ce qui se passe sur la capture d'écran, sur ton analyse du problème STP ^^

Sur la capture on voit des requêtes DNS à destination de mon serveur avec des ips du monde entier. Et c'est un petit aperçu d'une seul seconde.

Et ton serveur, il répond sur DNS ?

mon serveur n'accepte pas les requêtes en entré DNS théoriquement.

En faisant un drop de tout ce qui n'est pas à traiter, ça peut se faire mais c'est brutale comme méthode.
Pour un serveur sous Apache, il reste bien le mod_evasive, mais il a tendance à passer en "mod_panique_je_jette_tout" si le serveur en question reçois d'un coup pas mal de visiteurs suite à un buzz... et ce n'est pas adapté à un serveur qui héberge un service de VoIP.

J'ai déjà des règles très strictes: http://dropproxy.com/f/1C3

 
 
Ok et pratiquement ?

Il ne les acceptes pas mais c'est iptables qui les rejette donc les paquets arrivent sur la machine quand même.  
Après je ne sais pas trop ce qu'il se passe. Si le parefeu est submergé ou la bande passante mais elle n’excède pas 60 mb/s sur 100.  
Néanmoins, aucun service nest accessible durant l'attaque et le serv ne réponds plus au ping

ton apache qui est dépassé? t'as regardé les performances de ta machine?

Je n'héberge pas de serveur web c'est du VoIP. Je n'arrive pas à accéder à ma machine pendant l'attaque le mois prochain je prends un failover pour éviter ça.
Sinon la machine logs tout de même mais je ne sais pas si elle est à genoux.

Lis déjà ce topic:
http://forum.hardware.fr/hfr/resea [...] 6340_1.htm
 
iptables ou pas iptables, le traffic arrivera à la machine et remplira le lien.

Logger tout n'est pas forcément une bonne idée...
tu risques de saturer ton disque et ne plus être capable de faire quoique ce soit

Salut Oxyd3,
 
Je vois que ce post n'a pas eu de reply depuis 3 semaines, mais j'avais tout de même des choses à dire sur ton problème.
 
Je travaille chez un opérateur VoIP actuellement, et suis responsable de la sécurité réseau.
 
Nous ici, nous nous sommes vite rendus compte que de ne pas contrôler le flux avant la couche 3 représentait déjà un problème.
Parce que le paquet arrive dans ton IPTABLE ou ton fail2ban et c'est ton serveur de prod qui doit le gérer.
Lors d'un DDos, ton serveur doit d'une part gérer le flux massif de l'attaque, et d'autre part permettre au trafic légitime d'utiliser le service.
Tu comprends vite la limite...
 
Pour pallier ce problème, nous avons donc mis en place des sondes matérielles type IPS, qui analysent la trame de la couche 1 à 7 et drop en fonction des settings qu'on lui a entré.
 
C'est une solution plutôt coûteuse, certes, mais on sait que la VoIP est une activité qui attire beaucoup de fraudeurs (4,96 milliards de $ en 2011).
 
Tout dépend des dimensions de ton activité VoIP.
 
Pour une petite activité et des coûts réduits, il faudrait rester en filtrage software, mais avec un serveur frontal dédié au filtrage.
Par contre il faut en prendre un plutôt costaud car si il est saturé, personne ne pourra accéder même légitimement à ton serveur de prod.
 
Voilou