Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 02-07-2015 22:37:40

spartiate
Membre
Distrib. : Buster (laptop) / Buster (serveur)
Noyau : Linux 4.19.0-5-amd64 (serveur)
Inscription : 19-06-2015

Syn Flood

Hello à tous!!

Sur mon PC-serveur, j'ai installé tor/privoxy.

J'ai des syn flood sur le port 8118 et cela fait ramer le PC.

La commande

netstat -atpn |grep SYN | wc -l

 montre des chiffres pouvant aller jusque 60

j'ai passé la valeur à "1" dans tcp_syncookies et installé et exécuter le script "floodmon" mais cela ne les stop pas complètement bien que leur nombre soit réduit de moitié.

Comment lutter efficacement contre ces nuisances?

Hors ligne

#2 03-07-2015 11:37:24

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : Syn Flood

Tu peu te protéger un minimum


nano /etc/sysctl.conf
 



Y mettre ceci :


net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_max_syn_backlog = 1024
 



Tu charge les nouveaux paramètres :


sysctl -p /etc/sysctl.conf
 



Ensuite dans ton fichier iptables y mettre (a adapter selon ta configuration)


#Une limite syn a 10 par ip source
iptables -N SYN-LIMIT
iptables -A SYN-LIMIT -m hashlimit --hashlimit 10/second --hashlimit-mode srcip --hashlimit-name SYN-LIMIT -j RETURN
iptables -A SYN-LIMIT -j DROP
iptables -I INPUT -p tcp --dport 8118 --syn -j SYN-LIMIT
iptables -I INPUT -p udp --dport 8118 --syn -j SYN-LIMIT

Une limite connexion a 5 par ip source.
iptables -I INPUT -p tcp --dport 8118 -m connlimit --connlimit-above 5 -j REJECT --reject-with tcp-reset
iptables -I INPUT -p udp --dport 8118 -m connlimit --connlimit-above 5 -j REJECT
 

Dernière modification par kawer (03-07-2015 11:39:16)


Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Nous en sommes à la guerre du pétrole alors que la guerre de la faim a déjà commencé. Only Lovers Left Alive

Hors ligne

#3 03-07-2015 22:38:59

spartiate
Membre
Distrib. : Buster (laptop) / Buster (serveur)
Noyau : Linux 4.19.0-5-amd64 (serveur)
Inscription : 19-06-2015

Re : Syn Flood

Merci pour ton aide kawer, concernant le fichier iptable, j'ai

iptables v1.4.14: unknown option "--syn"

Hors ligne

#4 04-07-2015 10:00:44

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : Syn Flood

C'est moi qui est commis une erreur, :


#Une limite syn a 10 par ip source
iptables -N SYN-LIMIT
iptables -A SYN-LIMIT -m hashlimit --hashlimit 10/second --hashlimit-mode srcip --hashlimit-name SYN-LIMIT -j RETURN
iptables -A SYN-LIMIT -j DROP
iptables -I INPUT -p tcp --dport 8118 --syn -j SYN-LIMIT

Une limite connexion a 5 par ip source.
iptables -I INPUT -p tcp --dport 8118 -m connlimit --connlimit-above 5 -j REJECT --reject-with tcp-reset
iptables -I INPUT -p udp --dport 8118 -m connlimit --connlimit-above 5 -j DROP
 

Dernière modification par kawer (04-07-2015 10:06:39)


Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Nous en sommes à la guerre du pétrole alors que la guerre de la faim a déjà commencé. Only Lovers Left Alive

Hors ligne

#5 10-07-2015 21:46:05

spartiate
Membre
Distrib. : Buster (laptop) / Buster (serveur)
Noyau : Linux 4.19.0-5-amd64 (serveur)
Inscription : 19-06-2015

Re : Syn Flood

OK, c'est mis en place (je n'ai pas de configuration iptables!!).

Au bout de quelques temps, je me reprends des SYN_FLOOD sur ce port malgré tout...jusque 130. Qu'est ce qui peut expliquer cela malgré ton script?

Je devrais me plonger dans iptables, mais je trouve cela très difficile!

J'ai choisi une solution de contournement: j'ai changé le port de privoxy.

Pour le moment, plus d'alertes; mais c'est jusque quand? Je ne pense pas cette solution perenne dans le temps!

Hors ligne

#6 10-07-2015 22:00:33

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : Syn Flood

connlimit 5 fait qu'une qu'une ip est limité à 5 connection simultanément, après si tu veut limiter 5 par minute voir plus tu peu t'inspirer du tuto : ici voir plus draconien installer fail2ban et écrire un filtre fonctionnement avec tor/privoxy.

Dernière modification par kawer (10-07-2015 22:01:33)


Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Nous en sommes à la guerre du pétrole alors que la guerre de la faim a déjà commencé. Only Lovers Left Alive

Hors ligne

#7 10-07-2015 22:12:35

spartiate
Membre
Distrib. : Buster (laptop) / Buster (serveur)
Noyau : Linux 4.19.0-5-amd64 (serveur)
Inscription : 19-06-2015

Re : Syn Flood

Merci pour ces solutions kawer wink

je met en place un script/cron qui m'avertira d'autres SYN_FLOOD éventuels.

J'avais également changé le port par défaut de SSH, c'est une sécurité par l'aveugle je sais....

L'installation+configuration de fail2ban sera nécessaire à moyen terme, avec d'autres aussi je pense (portsentry, snort....)

Hors ligne

Pied de page des forums