Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 02-07-2015 22:37:40

spartiate
Membre
Distrib. : Jessie (laptop) / Wheezy (serveur)
Noyau : 3.16.0-4-amd64 / 3.2.0-4-amd64
(G)UI : SpectrWM
Inscription : 19-06-2015

Syn Flood

Hello à tous!!

Sur mon PC-serveur, j'ai installé tor/privoxy.

J'ai des syn flood sur le port 8118 et cela fait ramer le PC.

La commande

netstat -atpn |grep SYN | wc -l

 montre des chiffres pouvant aller jusque 60

j'ai passé la valeur à "1" dans tcp_syncookies et installé et exécuter le script "floodmon" mais cela ne les stop pas complètement bien que leur nombre soit réduit de moitié.

Comment lutter efficacement contre ces nuisances?

Hors ligne

#2 03-07-2015 11:37:24

kawer
Adhérent(e)
Lieu : Académie de la Croix-Vraie
Distrib. : Debian stable / ArchLinux
Noyau : Current
(G)UI : xfwm4
Inscription : 08-10-2013
Site Web

Re : Syn Flood

Tu peu te protéger un minimum


nano /etc/sysctl.conf
 



Y mettre ceci :


net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_max_syn_backlog = 1024
 



Tu charge les nouveaux paramètres :


sysctl -p /etc/sysctl.conf
 



Ensuite dans ton fichier iptables y mettre (a adapter selon ta configuration)


#Une limite syn a 10 par ip source
iptables -N SYN-LIMIT
iptables -A SYN-LIMIT -m hashlimit --hashlimit 10/second --hashlimit-mode srcip --hashlimit-name SYN-LIMIT -j RETURN
iptables -A SYN-LIMIT -j DROP
iptables -I INPUT -p tcp --dport 8118 --syn -j SYN-LIMIT
iptables -I INPUT -p udp --dport 8118 --syn -j SYN-LIMIT

Une limite connexion a 5 par ip source.
iptables -I INPUT -p tcp --dport 8118 -m connlimit --connlimit-above 5 -j REJECT --reject-with tcp-reset
iptables -I INPUT -p udp --dport 8118 -m connlimit --connlimit-above 5 -j REJECT
 

Dernière modification par kawer (03-07-2015 11:39:16)


Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

#3 03-07-2015 22:38:59

spartiate
Membre
Distrib. : Jessie (laptop) / Wheezy (serveur)
Noyau : 3.16.0-4-amd64 / 3.2.0-4-amd64
(G)UI : SpectrWM
Inscription : 19-06-2015

Re : Syn Flood

Merci pour ton aide kawer, concernant le fichier iptable, j'ai

iptables v1.4.14: unknown option "--syn"

Hors ligne

#4 04-07-2015 10:00:44

kawer
Adhérent(e)
Lieu : Académie de la Croix-Vraie
Distrib. : Debian stable / ArchLinux
Noyau : Current
(G)UI : xfwm4
Inscription : 08-10-2013
Site Web

Re : Syn Flood

C'est moi qui est commis une erreur, :


#Une limite syn a 10 par ip source
iptables -N SYN-LIMIT
iptables -A SYN-LIMIT -m hashlimit --hashlimit 10/second --hashlimit-mode srcip --hashlimit-name SYN-LIMIT -j RETURN
iptables -A SYN-LIMIT -j DROP
iptables -I INPUT -p tcp --dport 8118 --syn -j SYN-LIMIT

Une limite connexion a 5 par ip source.
iptables -I INPUT -p tcp --dport 8118 -m connlimit --connlimit-above 5 -j REJECT --reject-with tcp-reset
iptables -I INPUT -p udp --dport 8118 -m connlimit --connlimit-above 5 -j DROP
 

Dernière modification par kawer (04-07-2015 10:06:39)


Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

#5 10-07-2015 21:46:05

spartiate
Membre
Distrib. : Jessie (laptop) / Wheezy (serveur)
Noyau : 3.16.0-4-amd64 / 3.2.0-4-amd64
(G)UI : SpectrWM
Inscription : 19-06-2015

Re : Syn Flood

OK, c'est mis en place (je n'ai pas de configuration iptables!!).

Au bout de quelques temps, je me reprends des SYN_FLOOD sur ce port malgré tout...jusque 130. Qu'est ce qui peut expliquer cela malgré ton script?

Je devrais me plonger dans iptables, mais je trouve cela très difficile!

J'ai choisi une solution de contournement: j'ai changé le port de privoxy.

Pour le moment, plus d'alertes; mais c'est jusque quand? Je ne pense pas cette solution perenne dans le temps!

Hors ligne

#6 10-07-2015 22:00:33

kawer
Adhérent(e)
Lieu : Académie de la Croix-Vraie
Distrib. : Debian stable / ArchLinux
Noyau : Current
(G)UI : xfwm4
Inscription : 08-10-2013
Site Web

Re : Syn Flood

connlimit 5 fait qu'une qu'une ip est limité à 5 connection simultanément, après si tu veut limiter 5 par minute voir plus tu peu t'inspirer du tuto : ici voir plus draconien installer fail2ban et écrire un filtre fonctionnement avec tor/privoxy.

Dernière modification par kawer (10-07-2015 22:01:33)


Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

#7 10-07-2015 22:12:35

spartiate
Membre
Distrib. : Jessie (laptop) / Wheezy (serveur)
Noyau : 3.16.0-4-amd64 / 3.2.0-4-amd64
(G)UI : SpectrWM
Inscription : 19-06-2015

Re : Syn Flood

Merci pour ces solutions kawer wink

je met en place un script/cron qui m'avertira d'autres SYN_FLOOD éventuels.

J'avais également changé le port par défaut de SSH, c'est une sécurité par l'aveugle je sais....

L'installation+configuration de fail2ban sera nécessaire à moyen terme, avec d'autres aussi je pense (portsentry, snort....)

Hors ligne

Pied de page des forums