Forum général.général Protection attaque SYN flood

Posté par  .
Étiquettes :
0
30
mai
2012

Bonjour à tous,
je suis un peu embété…
J'ai un serveur web avec un traffic assez important, j'ai été il y a peu victime d'une attaque SYN flood.

Je cherche donc un moyen de contrer cette attaque sans que cela ne cré de faux positifs pour mon traffic web.

J'ai trouvé plusieurs articles à ce sujet toutefois ceux-ci se basent sur le nombre de connexion/seconde hors je ne veux pas que mes utilisateurs légitimes puissent être bloqués à cause d'une protection mise en place.

Que puis-je mettre en place comme customization via le /proc et iptables pour contrer ce type d'attaque ?

Merci par avance pour votre retour!

  • # Syn cookie

    Posté par  . Évalué à 5.

    le plus simple est d'activer les cookies SYN : http://fr.wikipedia.org/wiki/SYN_cookie
    A ma connaissance c'est le seul moyen de se protéger de ce type d'attaque.
    Mais si quelqu'un a une autre solution je suis preneur :)

    • [^] # Re: Syn cookie

      Posté par  (site web personnel) . Évalué à 4.

      La section Inconvénient fait un peu peur non ?

      Surtout la fin :
      si un attaquant arrive à deviner le protocole d'authentification utilisé par le serveur, il peut se faire passer pour n'importe qui. De plus il peut également inonder de paquets ACK le serveur pour tenter de créer une connexion. Et enfin, un serveur utilisant des syncookies ne pourra pas effectuer un filtrage de paquets ACK, ce qui peut permettre éventuellement à un attaquant de passer à travers un pare-feu qui filtre les paquets SYN de demande de connexion.

      Fuse : j'en Use et Abuse !

      • [^] # Re: Syn cookie

        Posté par  . Évalué à 2.

        si un attaquant arrive à deviner le protocole d'authentification utilisé par le serveur, il peut se faire passer pour n'importe qui

        Je ne vois pas trop le rapport entre « se faire passer pour n'importe qui » et arriver à ouvrir une connexion TCP en devinant le bon numéro de séquence.

        De plus il peut également inonder de paquets ACK le serveur pour tenter de créer une connexion.

        Ça ne fera pas plus de mal qu'un syn-flood avec syn-cookie niveau charge, et après, pour arriver à ouvrir une connexion, c'est pareil que d'arriver à deviner les numéros de séquence de manière « classique » : c'est considéré comme assez difficile.

        Et enfin, un serveur utilisant des syncookies ne pourra pas effectuer un filtrage de paquets ACK, ce qui peut permettre éventuellement à un attaquant de passer à travers un pare-feu qui filtre les paquets SYN de demande de connexion.

        Ça c'est simplement faux.

        Bref, c'est un peu n'importe quoi cet article. Et de toutes façons il me semble que les syn-cookies sont activés par défaut depuis un bout de temps.

  • # IP tables

    Posté par  (site web personnel) . Évalué à 1.

    Le mieux est de gérer cela au firewall je pense…
    Suivant ce que tu as en front tu dois avoir des trucs genre syn-defender ou autre…

    Sinon si c'est un pingouin avec iptable au cul inside, voici une page qui peux te donner un premier jet…

    Sinon à ta place je regarderai du coté des IDS genre snort pour ce genre de boulot !

    Fuse : j'en Use et Abuse !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.