Attaque DoS - Comment obtenir l'ip de l'attaquant ?

Support Debian
#1

Bonjour,

J’ai recherché sur google, et j’ai vraiment eu du mal à trouver comment faire.

Moi et le réseau ça fait deux, mon serveur se fait DoS de temps à autres, mais je n’ai pas trouvé comment récupérer l’IP.
L’attaque se passe sur le port 64738 (udp) avec un flood d’environ 30 Mo/s comment trouver l’IP ?

J’ai regardé les logs de connexions, nginx, rien, c’est vraiment sur ce port que le flood est concentré (serveur mumble down lors de l’attaque).

Les attaques durent environ 30 minutes et sont lancées aléatoirement j’ai l’impression.

Merci d’avance pour votre aide.

#2

Salut,

Tu peux visionner cela en live … :023 avec iptstate par exemple. :033

# aptitude install iptstate

Lancement en root.

# iptstate

Ctl +c pour quitter.

#3

Merci beaucoup !

J’ai eu beau chercher et j’étais totalement passé à côté.

Edit :

Post intéressant trouvé sur le sujet :

bloquer-le-trafic-d-un-client-suspect-et-le-reseau-public-t33904.html

#4

[quote=“loreleil”]Salut,

Tu peux visionner cela en live … :023 avec iptstate par exemple. :033

# aptitude install iptstate

Lancement en root.

# iptstate

Ctl +c pour quitter.[/quote]

en plus propre : su -c iptstate :wink:

#5

Salut,

Je n’avais pas précisé que pour passer en root …

[code]:~$ su -
Mot de passe :
:~#

:~# iptstate

[/code]
J’aurais dû le mentionner, il y du monde qui suit … :wink: c’est cool!

:~$ su -c iptstate Mot de passe :

[code]:~$ su -c
su : l’option requiert un argument – c
Syntaxe : su [options] [IDENTIFIANT]

Options :
-c, --command COMMANDE passer la commande COMMANDE à
l’interpréteur de commande appelé ;
-h, --help afficher ce message d’aide et quitter ;
-, -l, --login utiliser un interpréteur de commandes
initial (« login shell ») ;
-m, -p,
–preserve-environment ne pas réinitialiser les variables
d’environnement et conserver le même
interpréteur de commandes ;
-s, --shell SHELL utiliser SHELL comme interpréteur de
commandes à la place de celui défini
par défaut dans le fichier passwd.

:~$
[/code]

Grhim :023

#6

Salut :wink:

Peut-être que ce post correspond aussi à votre question :

debian-fr.org/ddos-et-charge … ml#p375579

Autant que Celui-ci pourrait aussi correspondre à une part de votre post :

debian-fr.org/reperer-les-ch … 37337.html

Je pense que quelque part nous avons tous la même quête :slightly_smiling:

Peut-être faudrait-il créer une section dédiée sécurité dans le Forum.

Merci à tous :slightly_smiling: