On Tue, May 15, 2007 at 10:40:17PM +0200, Stephane Bortzmeyer wrote: > On Tue, May 15, 2007 at 06:47:53PM +0200, > Jean-Baptiste FAVRE <jean-baptiste.favre@wanadoo.fr> wrote > a message of 13 lines which said: > > > Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière. > > Les SYN cookies, sans hésiter. > > "syncookies=yes" dans /etc/network/options et redémarrage (ou bien > sysctl à la main). > Si je ne dis pas de betises, les syncookies cela permet simplement d'eviter de sauvegarder trop de ressources pour la gestion des nouvelles connexions, en renvoyant les informations necessaires à la mise en place des ces dernieres au client. En plus de l'activation des syncookies, je pencherais aussi pour la mise en place de regles iptables utilisant la correspondance *recent* pour blacklister les clients au bout d'un certains temps (hitcount). Cela eviterait au serveur d'avoir a traiter les nouvelles connexions associees aux attaquants. -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
Attachment:
signature.asc
Description: Digital signature