On 2015-02-16 14:38:47 +0100, Philippe Gras wrote:
Le 16 févr. 15 à 14:18, Vincent Lefevre a écrit :
D'un autre côté, faire un DROP embête plus l'attaquant, qui va
perdre
son temps à faire des requêtes qui n'aboutiront pas. Mais...
Non, le DROP n'embête pas plus l'attaquant que ça. Tu loues un VPN à
la journée, la semaine ou au mois et t'as un abonnement identique
pour
X, Y ou Z Ko de trafic, dans une certaine limite évidemment.
Ce n'est pas le trafic qui est important ici. Quand on fait un DROP,
le ssh qui a été lancé reste actif sur la machine cliente pendant un
certain temps, alors qu'avec un REJECT, le ssh termine immédiatement.
Donc avec des DROP, l'attaquant peut donc faire moins de tentatives
s'il passe son temps à tomber sur des DROP (même s'il fait des ssh
en parallèle, le parallélisme a ses limites).
[...]
Le fait d'avoir changé le DROP en REJECT m'a permis d'en décourager
beaucoup, en seulement quelques jours. Je suis en train de
généraliser
l'option sur tous mes filtres.
Avec le DROP quand tu lèves le ban, tu vois les mêmes IP
réapparaître.
On a vraiment l'impression que les mecs ne récupèrent pas les données
de leurs bots, c'est n'importe quoi !
En même temps, cela permet de repérer les adresses IP en question.
--
Vincent Lefèvre <vincent@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/
blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/
[🔎] 20150216140954.GA27767@xvii.vinc17.org