Syn Flood

spartiate · 02-07-2015 22:37:40

Hello à tous!!

Sur mon PC-serveur, j'ai installé tor/privoxy.

J'ai des syn flood sur le port 8118 et cela fait ramer le PC.

La commande

netstat -atpn |grep SYN | wc -l

 montre des chiffres pouvant aller jusque 60 

j'ai passé la valeur à "1" dans tcp_syncookies et installé et exécuter le script "floodmon" mais cela ne les stop pas complètement bien que leur nombre soit réduit de moitié.

Comment lutter efficacement contre ces nuisances?

kawer · 03-07-2015 11:37:24

Tu peu te protéger un minimum

nano /etc/sysctl.conf

 

Y mettre ceci :

net.ipv4.tcp_syncookies = 1

net.ipv4.conf.all.rp_filter = 1

net.ipv4.tcp_max_syn_backlog = 1024

Tu charge les nouveaux paramètres :

sysctl -p /etc/sysctl.conf

 

Ensuite dans ton fichier iptables y mettre (a adapter selon ta configuration)

#Une limite syn a 10 par ip source

iptables -N SYN-LIMIT

iptables -A SYN-LIMIT -m hashlimit --hashlimit 10/second --hashlimit-mode srcip --hashlimit-name SYN-LIMIT -j RETURN

iptables -A SYN-LIMIT -j DROP

iptables -I INPUT -p tcp --dport 8118 --syn -j SYN-LIMIT

iptables -I INPUT -p udp --dport 8118 --syn -j SYN-LIMIT

Une limite connexion a 5 par ip source.

iptables -I INPUT -p tcp --dport 8118 -m connlimit --connlimit-above 5 -j REJECT --reject-with tcp-reset 

iptables -I INPUT -p udp --dport 8118 -m connlimit --connlimit-above 5 -j REJECT

Dernière modification par kawer (03-07-2015 11:39:16)

spartiate · 03-07-2015 22:38:59

Merci pour ton aide kawer, concernant le fichier iptable, j'ai

iptables v1.4.14: unknown option "--syn"

kawer · 04-07-2015 10:00:44

C'est moi qui est commis une erreur, :

#Une limite syn a 10 par ip source

iptables -N SYN-LIMIT

iptables -A SYN-LIMIT -m hashlimit --hashlimit 10/second --hashlimit-mode srcip --hashlimit-name SYN-LIMIT -j RETURN

iptables -A SYN-LIMIT -j DROP

iptables -I INPUT -p tcp --dport 8118 --syn -j SYN-LIMIT

Une limite connexion a 5 par ip source.

iptables -I INPUT -p tcp --dport 8118 -m connlimit --connlimit-above 5 -j REJECT --reject-with tcp-reset

iptables -I INPUT -p udp --dport 8118 -m connlimit --connlimit-above 5 -j DROP

Dernière modification par kawer (04-07-2015 10:06:39)

spartiate · 10-07-2015 21:46:05

OK, c'est mis en place (je n'ai pas de configuration iptables!!).

Au bout de quelques temps, je me reprends des SYN_FLOOD sur ce port malgré tout...jusque 130. Qu'est ce qui peut expliquer cela malgré ton script?

Je devrais me plonger dans iptables, mais je trouve cela très difficile!

J'ai choisi une solution de contournement: j'ai changé le port de privoxy.

Pour le moment, plus d'alertes; mais c'est jusque quand? Je ne pense pas cette solution perenne dans le temps!

kawer · 10-07-2015 22:00:33

connlimit 5 fait qu'une qu'une ip est limité à 5 connection simultanément, après si tu veut limiter 5 par minute voir plus tu peu t'inspirer du tuto : ici voir plus draconien installer fail2ban et écrire un filtre fonctionnement avec tor/privoxy.

Dernière modification par kawer (10-07-2015 22:01:33)

spartiate · 10-07-2015 22:12:35

Merci pour ces solutions kawer

je met en place un script/cron qui m'avertira d'autres SYN_FLOOD éventuels.

J'avais également changé le port par défaut de SSH, c'est une sécurité par l'aveugle je sais....

L'installation+configuration de fail2ban sera nécessaire à moyen terme, avec d'autres aussi je pense (portsentry, snort....)

Debian-facile

#1 02-07-2015 22:37:40

Syn Flood

#2 03-07-2015 11:37:24

Re : Syn Flood

#3 03-07-2015 22:38:59

Re : Syn Flood

#4 04-07-2015 10:00:44

Re : Syn Flood

#5 10-07-2015 21:46:05

Re : Syn Flood

#6 10-07-2015 22:00:33

Re : Syn Flood

#7 10-07-2015 22:12:35

Re : Syn Flood

Pied de page des forums