Re: [IPTABLES] Comment lister les paquets rejetés ?

[Philippe Gras <ph.gras@worldonline.fr>]

Le 8 juin 14 à 17:57, Francois Lafont a écrit :

> Juste pour conclure, je voulais ajouter ceci. Juste après un :
>
> iptables -A INPUT -p tcp --dport 80 -s 72.44.248.136 -j DROP
> iptables -A INPUT -p tcp --dport 80 -s 66.23.229.10 -j DROP
>
> *pendant* l'attaque, il est tout à fait possible que ton serveur
> apache soit encore dans les choux. En effet, avant la mise en
> place des règles ci-dessus, des requêtes http étaient sûrement
> en cours et celles-là ton apache souhaite les honorer. Du coup,
> ton apache envoie tant bien que mal ses réponses aux méchants
> hôtes 72.44.248.136 et 66.23.229.10. Normalement, les 2 méchants
> sont censés envoyer un paquet d'acquittement comme quoi ils ont
> bien reçu la réponse du serveur. Mais ces paquets d'acquittement
> ne peuvent plus arriver car les 2 règles ci-dessus l'empêchent.
> Du coup, apache2 cherche à renvoyer à nouveau ses réponses etc.
> Et du coup, il continue à être dans les choux pendant un certain
> temps.

Oui, c'est très possible. J'ai pensé à autre chose aussi, par rapport  
à ce
que François réfute, c'est que j'ai aussi une règle dans mon firewall  
qui
empêche les connexions établies d'être cassées. Il serait possible que
je sois obligé de demander expressément de casser celles-là, et l'une
après l'autre. Car l'attaquant n'en utilisait qu'une seule à la fois.
> En revanche, avec un truc du genre :
>
> 1. invoke-rc.d apache2 stop # on arrête toutes les connexions en  
> cours.
Oui, mais je marche avec NginX d'une part, et comme j'étais dessus  
aussi,
je n'avais pas envie de me bannir moi-même.

Ceci dit, j'avais installé précédemment un module limiteur qui existe  
sur le
serveur NginX, mais ça n'a pas vraiment gêné le mec pour attaquer.
> 2.
> iptables -A INPUT -p tcp --dport 80 -s 72.44.248.136 -j DROP
> iptables -A INPUT -p tcp --dport 80 -s 66.23.229.10 -j DROP
>
> 3.
> invoke-rc.d apache2 start
>
> il me semble que ton apache2 est serein aussitôt après et
> les 2 méchants hôtes ne peuvent plus l'embêter.

J'ai l'impression qu'on était tous les 2 chacun de notre côté à  
contrer l'autre,
et après que je l'ai eu droppé une première fois, il est revenu avec  
l'autre IP.
> --
> François Lafont
>
> --
> Lisez la FAQ de la liste avant de poser une question :
> http://wiki.debian.org/fr/FrenchLists
>
> Pour vous DESABONNER, envoyez un message avec comme objet  
> "unsubscribe"
> vers debian-user-french-REQUEST@lists.debian.org
> En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
> Archive: [🔎] 539487E8.80002@free.fr">https://lists.debian.org/[🔎] 539487E8.80002@free.fr