DDOS et chargements abusifs

Support Debian
#1

Salut à tous !

Depuis plusieurs mois ça allait bien, mais là des gens qui se veulent volontairement nuisibles attaquent volontairement mon serveur dédié (ces personnes ne respectent rien, y compris un service proposé totalement gratuitement à mes frais et sur mon temps libre).

  • Attaques DDOS : j’ai eu a bannir 44 adresses IP (en provenance de société d’hébergement de serveurs) depuis 1 semaine : mais ces nuisibles arrivent à saturer le serveur et le Firewall par moment. Les serveurs qui attaquent (dont les adresses IP sont peut-être spoofées ?) sont situés dans une bonne quinzaine de pays différents. Qu’elles soient Spoofées ou pas, cela force les serveurs concernés à envoyer des paquets vers mon serveur. D’ailleurs ils attaquent aussi des ports qui ne sont pas ouverts, donc tout cela prouve bien une démarche volontaire.

  • Plus ajouté à cela Chargements abusifs visant à saturer le serveur.

S’il vous plait,
Y a t’il un moyen de virer automatiquement ou au moins de répertorier les adresses IP des serveurs qui font des chargements beaucoup trop importants ?

Merci :wink:

#2

Ta question est trop vague. De quels chargements parles tu ? Un serveur FTP ?
Sinon le principe est simple: tu identifies les IP qui te pose problème, et tu les bloques avec iptables.
Je ne comprends pas ton raisonnement concernant les attaques sur des ports non ouverts. Comment sais tu que ce ne sont pas des robots scanneurs ?

#3

fait un script qui surveille les log et au bout de x fois qu’une même ip est rencontrer tu la bloque via iptables j’avais trouver un script qui le faisait très bien je vais éssayer de te le retrouver au bout de combien de tentative tu voudrai bloquer l@ip ?

#4

Fail2ban est un script surveillant les accès réseau grâce aux logs des serveurs. Lorsqu’il détecte des erreurs d’authentification répétées, il prend des contre-mesures en bannissant l’adresse IP grâce à iptables. Cela permet d’éviter nombre d’attaques bruteforce et/ou par dictionnaire.
Installation

apt-get install fail2ban

Configuration

vi /etc/fail2ban/fail2ban.conf

loglevel

Niveau de détail des logs (défaut 3)

logtarget = /var/log/fail2ban.log

Chemin vers le fichier de log (description des actions entreprises par fail2ban)

Les services à monitorer sont stockés dans jail.conf. Il est recommandé d’en effectuer une copie nommée jail.local qui sera automatiquement utilisée à la place du fichier exemple.

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

vi /etc/fail2ban/jail.local

Quelques paramètres globaux :

ignoreip = 127.0.0.1
Liste des adresses IP de confiance à ignorer par fail2ban
bantime = 600
Temps de ban en secondes
maxretry = 3
Nombre d’essais autorisés pour une connexion avant d’être banni
destmail monitoring@test.com
Adresse e-mail destinataire des notifications
action
Action à entreprendre en cas de détection positive (voir dans /etc/fail2ban/action.d/)

Chaque section possède ses propres paramètres qui prennent le pas sur les globaux s’ils sont mentionnés :

enabled
Monitoring activé (true) ou non (false)
maxretry, bantime, ignoreip, destmail
Voir ci-dessus
port
Port IP concerné
logpath
Fichier de log à analyser pour détecter des anomalies
filter
Filtre utilisé pour l’analyser du log

Les filtres par défaut sont stockés dans /etc/fail2ban/filter.d. Ils contiennent en général une instruction failregex suivie d’une expression régulière matchant la détection d’une authentification erronée. Par exemple pour le service Courier :

failregex = LOGIN FAILED, ip=[]$

Note : Celle-ci peut être précisée directement dans jail.local à la section appropriée pour prendre le pas sur la directive filter.

Modifiez les ports le cas échéant dans la section ssh si vous avez suivi la recommandation ci-dessus…

enabled = true
port = 2222

Après modification de la configuration, n’oubliez pas de redémarrer fail2ban : /etc/init.d/fail2ban restart

cf source :: http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html (ver la fin)

#5

Merci à tous pour vos réponses :slightly_smiling:

Si j’ai tardé à répondre c’est que je voulais regarder comment cela évoluait :wink:

J’hésite à en dire trop parce que les serveurs concernés pourraient êtres aisément identifiés, je pense qu’une règle de sécurité est d’en dire le moins possible : ce qui effectivement n’aide pas pour se faire aider :slightly_smiling:

J’utilise FAIL2BAN :slightly_smiling:

Comme dit, les attaques proviennent de serveurs qui sont souvent détournés de leur usage parce que leur Firewall est mal configuré.

Ensuite certains Spoofent les IP pour envoyer des requêtes. Il est certain que si des systèmes sont un peu anciens ils ont des failles, alors ces dernières sont aussi exploitées. Certaines portions de ce que j’utilise sont anciennes parce que c’est le centre de mon serveur et je ne peux pas faire autrement.

Toutefois je peux dire que la portion concernée est en chargement HTTP sans affichage de pages, donc effectivement les conseils que vous avez mentionné ci-dessous peuvent aider :

  • Cela force à compenser par iptables et le dispositif FAIL2BAN déjà mentionné.

  • Autant que possible Contacter les IP des hébergeurs concernés pour leur demander de bien vouloir ajouter mon IP en DROP, idem de mon coté pour restreindre les attaques.

  • Effectivement comme # piratebab a dit : ajouter robots.txt semble aider (et ce même si la liste des fichiers n’est pas visible, ce qui devrait pourtant prévenir les chargements de fichiers en masse :astonished:, mais tout semble malheureusement possible, la preuve…). Donc l’usage systématique de robots.txt est aussi le bienvenu.

  • Il faut reparametrer les logiciels de protection pour rendre ces derniers plus stricts et plus efficaces.

Merci #XPS condition de le configurer comme il se doit :slightly_smiling: Je me méfie du ban permanent des adresses parce que cela fini par surcharger les défenses, tout comme les logs.

Je ne suis pas un pro alors j’expérimente, avec le déboires qui vont avec :slightly_smiling:

Vos conseils vont me permettre d’améliorer encore les réglages :slightly_smiling:

Merci à tous ! :slightly_smiling:

#6

Salut,

En plus de fail2ban … :033

  • iptables

  • denyhosts

  • portsentry

  • psad

Entre autre … :083

#7

tien nous au courant si tu à réussi à améliorer ta condition. ou ce qu’il te manquerait.

#8

Merci à tous pour vos réponses :slightly_smiling:

Dans le cas du TCP c’est déjà géré par Fail2ban and Co. mais…
Sinon je vais peut-être poser une colle, comment on pourrait faire dans le cas où on voudrait aussi en plus protéger un jeu qui marcherait par exemple en UDP ? :astonished:

Il y a forcément pas mal de requêtes dans ce cas et donc là, cela doit être difficile à faire je pense ?
Si il y avait par exemple tout de même des requêtes perturbatrices en UDP sur des ports qui sont pourtant en “DROP”, on pourrait faire comment ?

Autre question quels sont les genres de logs qui sont reconnus par les hébergeurs ? Si on présente des logs à des hébergeurs situés en France, sont-ils obligés d’agir ?

Merci :slightly_smiling:

#9

[quote=“debynoob”].
Sinon je vais peut-être poser une colle, comment on pourrait faire dans le cas où on voudrait aussi en plus protéger un jeu qui marcherait par exemple en UDP ? :astonished:
[/quote]

t’avais raison tu pose une colle (fin me concernant je ne peut pas te dire) mais en effet en udp ça ne va pas être facile je pense comme tu dit beaucoup de requête…)

peu être une âme éclairé va t’aider mais moi je voit pas trop se que tu voudrai faire en plus donc bon

#10

Merci à tous pour votre aide :slightly_smiling:

Vous m’avez tous aidé !

La majorité des problèmes étaient dus à un problème de requêtes qui sont exploitées à cause de faiblesses de l’ancienneté de conception du logiciel donc rien à faire.

Genre plus de 8000 requêtes par secondes alors forcément…

Il existe en fait un script pour le serveur ancien et spécifique que j’utilise :slightly_smiling:

Merci encore à tous pour votre aide :slightly_smiling:

Script pour réduire l’UDP Flood

apt-get install tcpdump
apt-get install dpkg-awk

vi /etc/crontab
*/10 * * * * [LeScript-et-son-chemin] > /dev/null

http://et-zone.de/downloads/?action=download&id=14

#11

bon ba si ta trouver comment résoudre ton problème c’est le plus important!

coche la petite croix verte pour signifier que le sujet est résolut.

#12

Toutes les réponses ont contribué à la solution merci :slightly_smiling:

#13

Ouuais, bonjour la pub, en passant … :013

#14

[quote=“loreleil”]Salut,

En plus de fail2ban … :033

  • iptables

  • denyhosts

  • portsentry

  • psad

Entre autre … :083[/quote]

ouais, surtout deja retirer ping icmp …

#15

Ouuais …

S’il n’y avait que cela à retiré … :033

#16

[quote=“loreleil”]Ouuais …

S’il n’y avait que cela à retiré … :033[/quote]

je comprend bien mais c’est une des première chose a faire pour un anti ddos… :wink:

#17

Salut,

Je m’en doute un peu … cool!

ps: je préfère de très loin ton nouvelle avatar … :shhh: :005

#18

Pour information le Ping est OFF sur mon serveur depuis toujours :slightly_smiling:
Mais la remarque de #Grhim concernant cela est toujours valable.

Mais aussi pour #Grhim concernant le fait de laisser tout cela discret :
Mais la lutte anti DDOS est une lutte sans fin.
C’est un script public chacun est libre de le Customiser pour le rendre plus efficace.
Et pour information les perturbateur ou ceux qui abusent passent leur temps à lire les mêmes Forums ils ne sont pas dupes. Dans les gens qui demandent de l’aide il y aussi des nuisibles, malheureusement il ne faut pas se leurrer. Et rien n’empêche ces personnes de désassembler mes programmes pour voir ce qu’il y a dedans, et ce même si le code source n’est pas disponible.

Ce qui me dérange le plus ce sont ceux qui mettent à disposition des logiciels perturbateurs à la portée de n’importe quel débutant.

Quelle PUB ce n’est pas mon Forum ? ! :astonished:
Et pour information je ne suis pas Allemand :slightly_smiling:
La communauté du jeu gratuit Wolfenstein Enemy Territory est très active, encore plus depuis qu’il est en Open Source ! Programmeurs de MODS, créateurs de cartes de Jeux, Admins. Etc.

Il faut voir les créations de beaucoup de non pro, parfois il y a de quoi être soufflé.
Il y a même maintenant une version très haute définition avec le MOD ETXreaL!

Wolfenstein Enemy Territory a été offert librement en cadeau à tous par ID Software.
Comme le jeu Wolfenstein avait eu beaucoup de succès mais n’incorporait pas de multijoueur internet, ID Software avait finalement décidé la diffusion gratuite, et après la mise en Open Source tout comme Linux !

Et même si c’était volontairement de la PUB (ce qui n’est pas le cas) où serait le mal de faire de la PUB pour un jeu qui est lui aussi Open Source :astonished: Encore une fois ce n’est pas de la pub c’était simplement un lien vers un script.

Cela ne pourrait effectivement déranger que ceux qui ont un intérêt quelconque (genre économique dans des jeux payants), ou que cela dérange de mettre un lien vers un script de défense des Serveurs pour éviter leur détournement à des fins nuisibles au seul bénéfice de ces mêmes perturbateurs !

J’espère vous avoir un peu éclairé et encore merci à tous ! :slightly_smiling: