[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [IPTABLES] Comment lister les paquets rejetés ?



Le 8 juin 14 à 17:57, Francois Lafont a écrit :

Juste pour conclure, je voulais ajouter ceci. Juste après un :

iptables -A INPUT -p tcp --dport 80 -s 72.44.248.136 -j DROP
iptables -A INPUT -p tcp --dport 80 -s 66.23.229.10 -j DROP

*pendant* l'attaque, il est tout à fait possible que ton serveur
apache soit encore dans les choux. En effet, avant la mise en
place des règles ci-dessus, des requêtes http étaient sûrement
en cours et celles-là ton apache souhaite les honorer. Du coup,
ton apache envoie tant bien que mal ses réponses aux méchants
hôtes 72.44.248.136 et 66.23.229.10. Normalement, les 2 méchants
sont censés envoyer un paquet d'acquittement comme quoi ils ont
bien reçu la réponse du serveur. Mais ces paquets d'acquittement
ne peuvent plus arriver car les 2 règles ci-dessus l'empêchent.
Du coup, apache2 cherche à renvoyer à nouveau ses réponses etc.
Et du coup, il continue à être dans les choux pendant un certain
temps.

Oui, c'est très possible. J'ai pensé à autre chose aussi, par rapport à ce que François réfute, c'est que j'ai aussi une règle dans mon firewall qui
empêche les connexions établies d'être cassées. Il serait possible que
je sois obligé de demander expressément de casser celles-là, et l'une
après l'autre. Car l'attaquant n'en utilisait qu'une seule à la fois.

En revanche, avec un truc du genre :

1. invoke-rc.d apache2 stop # on arrête toutes les connexions en cours.

Oui, mais je marche avec NginX d'une part, et comme j'étais dessus aussi,
je n'avais pas envie de me bannir moi-même.

Ceci dit, j'avais installé précédemment un module limiteur qui existe sur le
serveur NginX, mais ça n'a pas vraiment gêné le mec pour attaquer.
2.
iptables -A INPUT -p tcp --dport 80 -s 72.44.248.136 -j DROP
iptables -A INPUT -p tcp --dport 80 -s 66.23.229.10 -j DROP

3.
invoke-rc.d apache2 start

il me semble que ton apache2 est serein aussitôt après et
les 2 méchants hôtes ne peuvent plus l'embêter.

J'ai l'impression qu'on était tous les 2 chacun de notre côté à contrer l'autre, et après que je l'ai eu droppé une première fois, il est revenu avec l'autre IP.

--
François Lafont

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: [🔎] 539487E8.80002@free.fr">https://lists.debian.org/[🔎] 539487E8.80002@free.fr



Reply to: