Re: Protection contre un DDOS tcp open

[François Boisson <user.anti-spam@maison.homelinux.net>]

Le Tue, 15 May 2007 23:28:46 +0200
Jean Baptiste Favre <jean-baptiste.favre@wanadoo.fr> a écrit:

> Connlimit: j'y ai pensé aussi mais il y a rarement plus de 2-3
> connexions simultanées depuis la même IP. En fait, le problème est
> qu'Apache attend sagement le timeout (et je ne peux pas le baisser,

Ces connexions peuvent se faire à l'aveugle non (i.e sans avoir la réponse, on
envoit un paquet «SYN» et on se moque du «ACK» qui revient. Il y a donc de
grande chances que l'IP d'origine soit fausse.

En fait je viens de tester sur mon serveur et une ligne comme

#  hping2  -S -p 80 --rand-source <IP_de_ton_serveur>

suffit à faire ce genre de choses. Effectivement, le serveur accumule les
douilles (sockets) en ouverture, envoit des ACK un peu partout et reste avec
ses connexions ouvertes comme un crétin.

J'ignore si il y a un moyen de retrouver l'origine sans doute unique de ces
paquets.

François Boisson