iptables et SYN flood
7 messages
• Page 1 sur 1
Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics
-
RiPSO - WRInaute passionné
- Messages: 1591
- Inscription: 4 Oct 2007
iptables et SYN flood
le Mar Sep 01, 2009 5:14
Salut 
J'ai un soucis avec une ligne de ma config iptables : (la deuxieme ligne)
en gros la table synflood contient les paquets à analyser, et synbl c'est la table de blacklist.
Le but de la manoeuvre est de verifier dans synflood si il y a eu 100 entrées dans la derniere seconde et si oui ajouter une entrée dans synbl pour blacklister, et aussi faire une sortie vers les logs.
la premiere ligne fonctionne, j'ai ajouté une sortie log pour vérifier et c'est bon.
Par contre la deuxième ligne me sort un "Invalid argument"
Si quelqu'un s'y connait en iptables je veux bien un peu d'aide svp
Merci
J'ai un soucis avec une ligne de ma config iptables : (la deuxieme ligne)
- Code: Tout sélectionner
iptables -A INPUT -p tcp --syn -m state --state NEW -m recent --name synflood --set
iptables -A INPUT -m recent --name synflood --rcheck --seconds 1 --hitcount 100 -m recent --name synbl --set -j LOG --log-prefix "SYNFLOOD "
en gros la table synflood contient les paquets à analyser, et synbl c'est la table de blacklist.
Le but de la manoeuvre est de verifier dans synflood si il y a eu 100 entrées dans la derniere seconde et si oui ajouter une entrée dans synbl pour blacklister, et aussi faire une sortie vers les logs.
la premiere ligne fonctionne, j'ai ajouté une sortie log pour vérifier et c'est bon.
Par contre la deuxième ligne me sort un "Invalid argument"
Si quelqu'un s'y connait en iptables je veux bien un peu d'aide svp
Merci
-
datch - WRInaute impliqué
- Messages: 988
- Inscription: 16 Juin 2006
Re: iptables et SYN flood
le Mar Sep 01, 2009 8:17
Merci de poster la réponse, c'est toujours cool pour une personne qui cherche
par contre je me demande pourquoi tu créés cette règle ?
de mon coté j'ai configuré le firewall en ssh, es-ce suffisant pour contrer tous les pirates ?
merci d'avance de ta réponse
par contre je me demande pourquoi tu créés cette règle ?
de mon coté j'ai configuré le firewall en ssh, es-ce suffisant pour contrer tous les pirates ?
merci d'avance de ta réponse
-
RiPSO - WRInaute passionné
- Messages: 1591
- Inscription: 4 Oct 2007
Re: iptables et SYN flood
le Mar Sep 01, 2009 8:36
Oui je fais en sorte de toujours donner la réponse.
Là je suis en train de tester pour augmenter la valeur par défaut mais j'ai pas encore réussi
Pour ta question, non ce n'est pas suffisant. Je ne suis pas du tout spécialiste mais en 2 jours non stop de lecture et de tests sur iptables je sais déjà qu'il te manque des trucs genre attaques icmp, syn, rts...
en gros ce que je cherche à faire c'est pour contrer quelqu'un qui chercherait a faire une attaque SYN en envoyant plein de demandes de connexions.
Tu as la possibilité de le faire facilement mais moi je cherche a faire un peu plus compliqué.
La version facile va juste mettre une limite du nombre de connexion.
Ma version c'est plutot de compter le nombre de connexions par seconde pour une seule ip et la mettre dans une blackliste pendant un certain temps et faire une sortie dans les logs.
Je compte faire une blackliste pour chaque type d'attaque et si une ip se retrouve dans plusieurs liste ca devra l'envoyer dans la blackliste principale qui durera pas mal de temps...
Theoriquement ça a l'air faisable, en pratique c'est plus compliqué
Là je suis en train de tester pour augmenter la valeur par défaut mais j'ai pas encore réussi
Pour ta question, non ce n'est pas suffisant. Je ne suis pas du tout spécialiste mais en 2 jours non stop de lecture et de tests sur iptables je sais déjà qu'il te manque des trucs genre attaques icmp, syn, rts...
en gros ce que je cherche à faire c'est pour contrer quelqu'un qui chercherait a faire une attaque SYN en envoyant plein de demandes de connexions.
Tu as la possibilité de le faire facilement mais moi je cherche a faire un peu plus compliqué.
La version facile va juste mettre une limite du nombre de connexion.
Ma version c'est plutot de compter le nombre de connexions par seconde pour une seule ip et la mettre dans une blackliste pendant un certain temps et faire une sortie dans les logs.
Je compte faire une blackliste pour chaque type d'attaque et si une ip se retrouve dans plusieurs liste ca devra l'envoyer dans la blackliste principale qui durera pas mal de temps...
Theoriquement ça a l'air faisable, en pratique c'est plus compliqué
-
RiPSO - WRInaute passionné
- Messages: 1591
- Inscription: 4 Oct 2007
Re: iptables et SYN flood
le Mar Sep 01, 2009 13:18
Quelqu'un a déjà vu seul au monde?
Bon, ca fait bientot 24h non stop que je suis sur ce problème... seul...
J'ai donc sorti l'artillerie lourde, j'ai contacté directement le développeur du module... wait and see
Bon, ca fait bientot 24h non stop que je suis sur ce problème... seul...
J'ai donc sorti l'artillerie lourde, j'ai contacté directement le développeur du module... wait and see
7 messages
• Page 1 sur 1
Formation recommandée sur ce thème :
Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par les experts Google Analytics de Ranking Metrics.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- Remise à 0 de iptables automatique?
- Iptables & ssh
- Load balancing IPVS et firewall IPTABLES
- Besoin d'aide Iptables & Cisco asa 5505
- Flood anti recherche
- Flood inscription au forum
- Un référencement sans flood
- système anti-flood : un petit topo
- Anti flood, se servir des cookies, ip, machine... ?
- mettre un système anti flood sur un forum
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité
Contact
Confidentialité