Bonjour.
 
J'ai un dédié de chez OVH START 100M.
 
 
Après avoir contré des flood DDoS je me fais syn flood ( et en plus de ça le syn flood est dissimulé par un spoofing ip ) .
 
 
Avec un petit netstat -a inet j'ai un truc dans le genre :
 
 
15 syn flood sur le port 5121 ( port différents et ip différentes )
15 syn flood sur le port 6121 ( port différents et ip différentes )
+ 200 voir plus syn flood sur le port 80 ( ports différents et ip différentes )
 
 
Résultat :
 
 
Lag + perte de packets sur les applications qui utilisent le port 5121, 6121 et www ( le site donc ) et même en SSH sous putty, d'ailleurs je ne dirais pas que c'est du lag car tout devient indisponible.
 
 
N'étant pas calé dans le milieu, j'ai demandé à un ami qui est assez calé dans le domaine, mais malheureusement à cause du spoofing ip on ne peut pas remonter à la source.
 
 
Donc quelqu'un à t-il déjà eu la même expérience ? Comment contrer ce genre d'attaque ?
 
 
PS :
 
1/ Je suis sous debian 4 et j'utilise ssh via putty.
2/ En faisant tcpdump je ne recois aucun paquet ou c'est que c'est tellement lent que les packets n'arrivent pas... ?

le synflood s'arrête avec des équipements dédiés qui en fait mettent en place des SYN cookie. Vérifie que c'est activé sur ton serveur, t'auras plus de problèmes de sockets fantomes sur ton serveur

SYN_COOKIE déjà mis en place, on a aussi diminuer le timeout des connections.

ben à ton niveau tu ne peux pas faire grand chose de plus il me semble.

Obligé de porté plainte contre X et de demander à OVH de remonter à la source ?

si les paquets sont spoofés ils ne pourront pas...

Ah ? Et donc je ne peux rien faire à part subir ?
 
 
edit : on me signale à l'oreillette que c'est trouvable si ce n'est que du spoofing ip et non pas spoof MAC

heu non, c'est pas trouvable. Le spoofing IP s'arrête au niveau opérateur en amont avec une fonctionnalité qui s'appelle uRPF. Si je forge un paquet et que je mets n'importe quoi en source, la machine qui reçoit n'a aucun moyen de me retrouver. Au mieux le paquet est jeté en transit.

marde marde.
 
Donc comme je dis, je suis ni*** de chez ni*** ?!

J'étais en train de penser à un truc, avec IPSec, pas moyen d'arranger la chose ?

non

J'ai coupé ma machine ( dédié ovh ) pendant 4 jours.
 
Quand je l'ai récupéré, 8 heures après l'attaque à repris.
 
J'ai demandé sur un autre forum et on m'a répondu :
 

 
 
Penses tu que je dois me pencher sur la question et approfondir où je peux laisser tomber d'avance cette piste ?

Salut,
 
Possible d'avoir tes logs stp, meme en pv ?

Pas de problème je te fais ça... !

un petit netstat :
 
http://img100.imageshack.us/my.php?image=truc2rl2.jpg
 
 
En tapant l'ip de mon dédié sur google je tombe sur :
 
 
- http://stats.fp6-noah.org/show.php?ip=91.121.77.173
- https://isc.sans.org/ipinfo.html?ip=091.121.077.173
- http://www.sectegrity.com/alerts/isc.shtml
- http://watchlist.security.org.my/all.txt
 
 
Ma machine est infecté ( backdoor ?    ) on dirais...
 
 
 
PS : je viens de réinstaller la machine, je vais réinstaller mysql apache etc