Re: Protection contre un DDOS tcp open
Je fais une réponse un peu groupée:
Netfilter Recent: pourquoi pas mais il faudrait alors que je marque les
connexions ouvertes et que je guette le paquet suivant dans une fenêtre
de temps définie. Reste qu'Apache prendra quand même la connexion
(puisqu'ouverte), et la fenêtre de temps pourrait bien rendre le timeout
d'Apache "obsolète".
Connlimit: j'y ai pensé aussi mais il y a rarement plus de 2-3
connexions simultanées depuis la même IP. En fait, le problème est
qu'Apache attend sagement le timeout (et je ne peux pas le baisser,
cause l'appli PHP qui tourne... je sais, faut refaire l'appli, mais là,
je ne peux pas faire grand'chose.). Dans finalement, je ne suis pas
certain de l'efficacité de la mesure. Mais je vais recreuser l'affaire.
Pourquoi tant de haine: ben, j'aimerais bien que le "proprio" du botnet
me le dise :-s Plus sérieusement, soit je suis un dégât collatéral, soit
il se trompe d'IP.
J'vais p'tre creuser un mix des 2 solutions Netfilter. Je vous tiens au
courant.
Merci pour les réponses,
JB
Stephane Bortzmeyer a écrit :
> On Tue, May 15, 2007 at 08:13:39PM +0200,
> Benjamin RIOU <pandolphe@pandolphe-vision.net> wrote
> a message of 24 lines which said:
>
>> Oui, mais tu peux peut être empecher plus de X connexions TCP
>> simultanées pour chaque IP (voir le module recent d'iptables).
>
> connlimit
>
> Voir par exemple http://www.gecko26.com/blog/connlimit_sarge
>
>
Reply to: