Re: [HS] Syn flood, comment s'en débarrasser ?
Le 20 juin 2015 à 22:00, Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net> a écrit :
> Le samedi 20 juin 2015, Philippe Gras a écrit...
>
>
>
>> Whouah ! Génial. Donc, je peux dropper tout le monde à l’exception de
>> l’IP de mon serveur, de son IP locale (127.0.0.1) et de la plage IP
>> sur laquelle mon FAI m’envoie ?
>
> Je ne comprends pas trop ce que tu veux dire. Mais :
>
> - Si le serveur sql et le serveur ouèbe (Nginx) sont sur la même
> machine, tu mets le bind-address de mysql sur 127.0.0.1, et tu donnes
> les grant de tes utilisateurs de tes sites ouèbe sur leUser@localhost.
> Et tu peux dropper tout le monde. Ce qui ne devrait même pas, en
> théorie, être nécessaire puisque l'accès n'est pas autorisé. Mais qui
> va soulager le serveur sql.
>
>
Avant:
===========================================================
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 0.0.0.0:17500 0.0.0.0:* LISTEN 12075/dropbox
tcp 0 0 127.0.0.1:17600 0.0.0.0:* LISTEN 12075/dropbox
tcp 0 0 127.0.0.1:17603 0.0.0.0:* LISTEN 12075/dropbox
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:53026 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:32338 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:45444 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:215 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:24940 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:24263 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:31851 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:23060 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:64786 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:57477 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:45752 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:49368 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:62817 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:53576 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:58913 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:50822 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:14773 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:5103 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:14316 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:60768 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:5372 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:63273 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:10811 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:62129 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:9430 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:23597 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:61150 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:39552 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:61192 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:58577 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:13750 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:44279 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:47996 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:37056 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:33076 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:47987 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:55933 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:23570 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:64358 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:59809 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:42917 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:6310 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:37447 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:45322 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:59556 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:57497 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:65501 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:33033 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:27291 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:11142 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:51702 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:50690 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:20311 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:57683 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:58525 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:21925 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:6103 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:42661 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:37353 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:52953 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:25283 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:24478 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:41997 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.226.11.137:20757 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:26290 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:45632 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 91.213.175.247:32520 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:31246 SYN_RECV -
tcp 0 0 x.xxx.xxx.xx:3306 104.223.215.4:14002 SYN_RECV -
tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN 31573/memcached
tcp 0 0 0.0.0.0:22220 0.0.0.0:* LISTEN 17140/sshd
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 8532/nginx
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 1042/proftpd: (acce
tcp 0 0 x.xxx.xxx.xx:53 0.0.0.0:* LISTEN 16528/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 16528/named
tcp 0 0 0.0.0.0:4598 0.0.0.0:* LISTEN 5294/monit
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 15593/master
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 16528/named
# Autoriser mysqld
iptables -t filter -A INPUT -p tcp -s localhost --dport 3306 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -s localhost --dport 3306 -j ACCEPT
echo "MySqld OK »
Je suis allé vérifier sur un site, ça ne perturbe (évidemment) pas la visite :-)
Après:
===========================================================
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 0.0.0.0:17500 0.0.0.0:* LISTEN 12075/dropbox
tcp 0 0 127.0.0.1:17600 0.0.0.0:* LISTEN 12075/dropbox
tcp 0 0 127.0.0.1:17603 0.0.0.0:* LISTEN 12075/dropbox
tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN 31573/memcached
tcp 0 0 0.0.0.0:22220 0.0.0.0:* LISTEN 17140/sshd
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 8532/nginx
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 1042/proftpd: (acce
tcp 0 0 x.xxx.xxx.xx:53 0.0.0.0:* LISTEN 16528/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 16528/named
tcp 0 0 0.0.0.0:4598 0.0.0.0:* LISTEN 5294/monit
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 15593/master
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 16528/named
Merci à tous pour vos précieuses lumières :-) !!!!!
Maintenant, j’ai tout le reste à vérifier et éventuellement à réécrire au propre…
J’aimerais bien savoir si je peux appliquer le même traitement à Named ou Memcached, par exemple.
Ph. Gras
Reply to:
- References:
- [HS] Syn flood, comment s'en débarrasser ?
- From: Philippe Gras <ph.gras@worldonline.fr>
- Re: [HS] Syn flood, comment s'en débarrasser ?
- From: Guillaume <list-debian@gwilhom.fr>
- Re: [HS] Syn flood, comment s'en débarrasser ?
- From: Philippe Gras <ph.gras@worldonline.fr>
- Re: [HS] Syn flood, comment s'en débarrasser ?
- From: Samuel <debian-user-french-2010@ingescom.com>
- Re: [HS] Syn flood, comment s'en débarrasser ?
- From: Philippe Gras <ph.gras@worldonline.fr>
- Re: [HS] Syn flood, comment s'en débarrasser ?
- From: Guillaume <list-debian@gwilhom.fr>
- Re: [HS] Syn flood, comment s'en débarrasser ?
- From: Philippe Gras <ph.gras@worldonline.fr>
- Re: [HS] Syn flood, comment s'en débarrasser ?
- From: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>
- Re: [HS] Syn flood, comment s'en débarrasser ?
- From: Philippe Gras <ph.gras@worldonline.fr>
- Re: [HS] Syn flood, comment s'en débarrasser ?
- From: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>