Re: Protection contre un DDOS tcp open

[mouss <mlist.only@free.fr>]

Franck Joncourt wrote:
> On Wed, May 16, 2007 at 07:54:59AM +0200, Benjamin RIOU wrote:
>   
> > (ce qui suit est probablement une immense connerie)
> >
> > Mettons que ton service à contacter sur le port 80.
> > Serait-il possible de faire une erreur 301 "Moved Permanantly"  vers
> > un autre port ?
> >
> > Je m'explique,
> > X se connecte à ton serveur sur le port 80. Il fait un GET /
> > La page lui répond d'aller voir sur le port 8040, sur laquelle ton
> > serveur est doresetnavant.
> > X se connecte alors au 8040 et tout va bien.
> >
> > Formidable.
> > Maintenant, le bot va pas aller sur le port 8040 car il fait pas de
> > requette HTTP.
> > Sur ton serveur Apache, tu mets un timeout de 3 secondes sur le port
> > 80, et un timeout plus long sur le 8040.
> >
> >
> > Comme ca ton bot n'aura pas d'accès à ton serveur, et pourra être
> > jetté sur le champ.
> >
> > Qu'est-ce que t'en penses ?
> >
> >     
>
> Avant d'attaquer on apprend a connaitre son adversaire. Donc port 80 ou
> 8040, cela ne va pas aider. C'est un peut le meme principe que de faire
> ecouter son serveur SSH sur un port different de 22 : aucun interet.
>   

si. eviter le bruit. avant, j'avais des tonnes de lignes de logs ssh. 
depuis que j'ai bougé le port, j'en vois plus (plus que des logs 
iptables). ça ne protège certes pas plus, mais c'est plus tranquille.

> Le but c'est d'arriver a mettre en place une procedure pour apprendre a
> ton serveur a reconnaitre les attaquants, autrement tu ne fais que
> deplacer le probleme.
>
>   

"Je suis d'accord, Serge" (ça me rappelle que ça fait longtemps que j'ai 
pas regardé les guignols).