Re: Protection contre un DDOS tcp open

To: debian-user-french@lists.debian.org
Subject: Re: Protection contre un DDOS tcp open
From: Jean Baptiste Favre <jean-baptiste.favre@wanadoo.fr>
Date: Wed, 16 May 2007 20:17:34 +0200
Message-id: <[🔎] 464B4ABE.9020800@wanadoo.fr>
Reply-to: jean-baptiste.favre@wanadoo.fr
In-reply-to: <[🔎] 20070516100611.73068ea4.user.anti-spam@maison.homelinux.net>
References: <[🔎] 12946191.79361179248351176.JavaMail.www@wwinf2224> <[🔎] 28c01a080705151113u2a59c424pf76d918a5f06b6bb@mail.gmail.com> <[🔎] 20070515211915.GB20502@sources.org> <[🔎] 464A260E.3010303@wanadoo.fr> <[🔎] 20070516001131.b7479e2c.user.anti-spam@maison.homelinux.net> <[🔎] 20070516060504.GB10653@sources.org> <[🔎] 20070516100611.73068ea4.user.anti-spam@maison.homelinux.net>

Bonsoir à tous,

Finalement, c'est Benjamin Riou
(http://lists.debian.org/debian-user-french/2007/05/msg00765.html) qui,
j'espère, m'a mis sur les rails pour trouver une solution. J'espère
parce que l'attaque s'est arrêtée (jusqu'à la prochaine fois...). Comme
quoi, une "probable connerie" n'en est pas forcément une :-)
Merci Benjamin.

Le plus simple est effectivement de filtrer sur la présence (ou pas)
d'une requête HTTP, ce qui n'empêche pas de limiter le nombre de
connexions par IP. Bon, la redirection ou le rewrite rule ne me
conviennent pas pour différentes raisons, mais un proxy léger et rapide
m'irait comme un gant.

Donc, j'ai un peu fouillé le net et suis tombé sur ça: pound
(http://www.apsis.ch/pound/ et packagé Debian) ou HAProxy
(http://haproxy.1wt.eu/ mais pas packagé :-( ).

Ils semblent très légers et performants et leur configuration, a priori,
assez simple.

Je teste tout ça le plus rapidement possible et je vous tiens au courant.

Merci en tout cas pour toutes vos suggestions, ça fait toujours avancer
sa propre réflexion :-)
@+
JB

François Boisson a écrit :
> Le Wed, 16 May 2007 08:05:04 +0200
> Stephane Bortzmeyer <stephane@sources.org> a écrit:
> 
>> On Wed, May 16, 2007 at 12:11:31AM +0200,
>>  François Boisson <user.anti-spam@maison.homelinux.net> wrote 
>>  a message of 25 lines which said:
>>
>>> J'ai du mal à croire qu'un gars ait dix mille machines à sa
>>> disposition pour te polluer mais je ne comprends pas comment il
>>> fait...
>> C'est un petit botnet. Les plus gros font plus de cent mille
>> machines. « A botnet is comparable to compulsory military service for
>> Windows boxes » (Stromberg)
>>
>> Voir l'excellent article de Honeynet « Know your Enemy »
>> http://www.honeynet.org/papers/bots/
> 
> Merci de ce papier particulièrement complet, Il ne manque que le prix de
> location et l'endroit où trouver cela. Je ne pensais pas que ce phénomène
> s'était généralisé à ce point.
> 
> Le problème consiste donc à différencier une connexion vivante d'une connexion
> endormie et ce, juste après l'établissement de la dite connexion. Je ne vois
> qu'une fonctionnalité de netfilter que je ne connaitrais pas ou un wrapper à
> Apache (à faire)...
> 
> François Boisson
> 
>

Reply to:

References:
- Re: Protection contre un DDOS tcp open
  - From: Jean-Baptiste FAVRE <jean-baptiste.favre@wanadoo.fr>
- Re: Protection contre un DDOS tcp open
  - From: "Benjamin RIOU" <pandolphe@pandolphe-vision.net>
- Re: Protection contre un DDOS tcp open
  - From: Stephane Bortzmeyer <stephane@sources.org>
- Re: Protection contre un DDOS tcp open
  - From: Jean Baptiste Favre <jean-baptiste.favre@wanadoo.fr>
- Re: Protection contre un DDOS tcp open
  - From: François Boisson <user.anti-spam@maison.homelinux.net>
- Re: Protection contre un DDOS tcp open
  - From: Stephane Bortzmeyer <stephane@sources.org>
- Re: Protection contre un DDOS tcp open
  - From: François Boisson <user.anti-spam@maison.homelinux.net>

Prev by Date: Re: [Etch] problème de configuration de HAL
Next by Date: kernel :CCMP : replay detected
Previous by thread: Re: Protection contre un DDOS tcp open
Next by thread: Re: Protection contre un DDOS tcp open
Index(es):
- Date
- Thread