[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [IPTABLES] Comment lister les paquets rejetés ?

Le Sun, 8 Jun 2014 18:29:41 +0200,
Philippe Gras <ph.gras@worldonline.fr> a écrit :

> Le 8 juin 14 à 17:57, Francois Lafont a écrit :
> 
> > Juste pour conclure, je voulais ajouter ceci. Juste après un :
> >
> > iptables -A INPUT -p tcp --dport 80 -s 72.44.248.136 -j DROP
> > iptables -A INPUT -p tcp --dport 80 -s 66.23.229.10 -j DROP
> >
> > *pendant* l'attaque, il est tout à fait possible que ton serveur
> > apache soit encore dans les choux. En effet, avant la mise en
> > place des règles ci-dessus, des requêtes http étaient sûrement
> > en cours et celles-là ton apache souhaite les honorer. Du coup,
> > ton apache envoie tant bien que mal ses réponses aux méchants
> > hôtes 72.44.248.136 et 66.23.229.10. Normalement, les 2 méchants
> > sont censés envoyer un paquet d'acquittement comme quoi ils ont
> > bien reçu la réponse du serveur. Mais ces paquets d'acquittement
> > ne peuvent plus arriver car les 2 règles ci-dessus l'empêchent.
> > Du coup, apache2 cherche à renvoyer à nouveau ses réponses etc.
> > Et du coup, il continue à être dans les choux pendant un certain
> > temps.
> 
> Oui, c'est très possible. J'ai pensé à autre chose aussi, par
> rapport à ce
> que François réfute, c'est que j'ai aussi une règle dans mon
> firewall qui
> empêche les connexions établies d'être cassées. Il serait possible que
> je sois obligé de demander expressément de casser celles-là, et l'une
> après l'autre. Car l'attaquant n'en utilisait qu'une seule à la fois.
> >
> > En revanche, avec un truc du genre :
> >
> > 1. invoke-rc.d apache2 stop # on arrête toutes les connexions en  
> > cours.
> >
> Oui, mais je marche avec NginX d'une part, et comme j'étais dessus  
> aussi,
> je n'avais pas envie de me bannir moi-même.
> 
> Ceci dit, j'avais installé précédemment un module limiteur qui
> existe sur le
> serveur NginX, mais ça n'a pas vraiment gêné le mec pour attaquer.
> > 2.
> > iptables -A INPUT -p tcp --dport 80 -s 72.44.248.136 -j DROP
> > iptables -A INPUT -p tcp --dport 80 -s 66.23.229.10 -j DROP
> >
> > 3.
> > invoke-rc.d apache2 start
> >
> > il me semble que ton apache2 est serein aussitôt après et
> > les 2 méchants hôtes ne peuvent plus l'embêter.
> 
> J'ai l'impression qu'on était tous les 2 chacun de notre côté à  
> contrer l'autre,
> et après que je l'ai eu droppé une première fois, il est revenu avec  
> l'autre IP.
> >
> > -- 
> > François Lafont

bonjour,

serait-il possible d'indiquer la liste des paquets installés pour
se protéger des attaques en installant :

-a) denyhost
-b) portsentry

slt
bernard
Reply to: