! TCP: drop open request from !

Support Debian
#1

Bonjour a tous,

Depuis deux jours, logwatch m’envoie dans ma boite mail les alertes suivantes :

Aug 3 07:56:17 matrix kernel: [220002.685696] TCP: drop open request from 111.89.73.2/2995 Aug 3 07:56:17 matrix kernel: [220002.699781] TCP: drop open request from 1.33.32.121/3071 Aug 3 07:56:17 matrix kernel: [220002.704847] TCP: drop open request from 202.224.86.62/4385 Aug 3 07:56:17 matrix kernel: [220002.708664] TCP: drop open request from 1.33.67.218/2217 Aug 3 07:56:17 matrix kernel: [220002.715102] TCP: drop open request from 1.33.32.121/3089 Aug 3 07:56:17 matrix kernel: [220002.715382] TCP: drop open request from 1.33.32.121/3091 Aug 3 07:56:17 matrix kernel: [220002.731198] TCP: drop open request from 1.33.32.121/3095 Aug 3 07:56:17 matrix kernel: [220002.732438] TCP: drop open request from 111.89.81.139/1908 Aug 3 07:56:17 matrix kernel: [220003.063428] TCP: drop open request from 219.102.72.236/1111 Aug 3 07:56:17 matrix kernel: [220003.074100] TCP: drop open request from 1.33.32.121/3395 Aug 3 07:56:22 matrix kernel: [220007.759773] TCP: drop open request from 111.89.72.228/2673 Aug 3 07:56:22 matrix kernel: [220007.772870] TCP: drop open request from 119.245.107.147/3789 Aug 3 07:56:22 matrix kernel: [220007.786424] TCP: drop open request from 110.165.188.248/1337 Aug 3 07:56:22 matrix kernel: [220007.786679] TCP: drop open request from 210.165.171.234/4059 Aug 3 07:56:22 matrix kernel: [220007.786909] TCP: drop open request from 210.165.171.234/4046 Aug 3 07:56:22 matrix kernel: [220007.849667] TCP: drop open request from 111.89.75.199/3429 Aug 3 07:56:22 matrix kernel: [220008.261419] TCP: drop open request from 111.89.73.2/3511 Aug 3 07:56:22 matrix kernel: [220008.287095] TCP: drop open request from 111.89.75.199/4028 Aug 3 07:56:22 matrix kernel: [220008.371795] TCP: drop open request from 111.89.73.2/3863 Aug 3 07:56:22 matrix kernel: [220008.371991] TCP: drop open request from 111.89.73.2/4028 Aug 3 07:57:37 matrix kernel: [220083.189340] TCP: drop open request from 111.89.81.139/3542 Aug 3 07:57:37 matrix kernel: [220083.189366] TCP: drop open request from 111.89.81.139/3546 Aug 3 07:57:37 matrix kernel: [220083.189386] TCP: drop open request from 111.89.81.139/3554 Aug 3 07:57:37 matrix kernel: [220083.190508] TCP: drop open request from 219.102.72.242/4066 Aug 3 07:57:37 matrix kernel: [220083.296278] TCP: drop open request from 111.89.81.139/3468 Aug 3 07:57:37 matrix kernel: [220083.296320] TCP: drop open request from 111.89.81.139/3553 Aug 3 07:57:37 matrix kernel: [220083.296726] TCP: drop open request from 111.89.81.139/3621 Aug 3 07:57:37 matrix kernel: [220083.296865] TCP: drop open request from 111.89.81.139/3611 Aug 3 07:57:37 matrix kernel: [220083.296932] TCP: drop open request from 111.89.81.139/3627 Aug 3 07:57:37 matrix kernel: [220083.384178] TCP: drop open request from 210.165.151.182/4167 Aug 3 07:58:24 matrix kernel: [220130.239061] TCP: drop open request from 219.102.72.236/4352 Aug 3 07:58:24 matrix kernel: [220130.348460] TCP: drop open request from 111.89.77.153/3021 Aug 3 07:58:24 matrix kernel: [220130.348745] TCP: drop open request from 219.102.72.236/4431 Aug 3 07:58:24 matrix kernel: [220130.353574] TCP: drop open request from 210.165.132.93/2191 Aug 3 07:58:24 matrix kernel: [220130.354395] TCP: drop open request from 1.33.66.71/2258 Aug 3 07:58:24 matrix kernel: [220130.354515] TCP: drop open request from 1.33.66.71/2276 Aug 3 07:58:24 matrix kernel: [220130.355720] TCP: drop open request from 88.189.9.211/44992 Aug 3 07:58:24 matrix kernel: [220130.361208] TCP: drop open request from 111.89.79.74/1688 Aug 3 07:58:24 matrix kernel: [220130.367555] TCP: drop open request from 219.102.72.247/2919 Aug 3 07:58:24 matrix kernel: [220130.367837] TCP: drop open request from 111.89.79.240/4543 Aug 3 07:58:29 matrix kernel: [220135.364642] TCP: drop open request from 210.165.132.99/2920 Aug 3 07:58:29 matrix kernel: [220135.367458] TCP: drop open request from 219.102.72.247/1538 Aug 3 07:58:29 matrix kernel: [220135.369469] TCP: drop open request from 219.102.72.247/1368 Aug 3 07:58:29 matrix kernel: [220135.372941] TCP: drop open request from 1.33.67.218/3549 Aug 3 07:58:29 matrix kernel: [220135.398212] TCP: drop open request from 210.165.171.47/4704 Aug 3 07:58:29 matrix kernel: [220135.401013] TCP: drop open request from 210.165.132.99/4452 Aug 3 07:58:29 matrix kernel: [220135.403778] TCP: drop open request from 111.89.111.11/2969 Aug 3 07:58:29 matrix kernel: [220135.407150] TCP: drop open request from 61.122.90.205/2989 Aug 3 07:58:29 matrix kernel: [220135.416545] TCP: drop open request from 210.165.151.182/4657 Aug 3 07:58:29 matrix kernel: [220135.419325] TCP: drop open request from 210.165.132.93/2163

Apparemment, que des adresses situées au Japon.

Pour infos, j’ai un PC qui me sert de serveur “maison” avec les services :

  • Apache
  • SSH
  • Tor/Polipo

J’ai donc arrêté ces services pour l’instant

Cela ressemblerait-il à un attaque Ddos??

Comment y remédier?

Merci d’avance

#2

Salut,
Possible que ce soit une attaque.

Si c’est le cas, je viens de lire ici: e-mats.org/2010/01/tcp-drop-open-request-from/ comment essayer de le parer…

  • bloquer le subnet avec iptables
  • Activer TCP SYN Cookies

Ça ne coûte rien d’essayer…
Tu as regardé les logs d’apache, fail2ban ?

#3

J’allais le dire : fail2ban, bine règlé doit interdire la récidive, il me semble.

#4

En regardant de plus près les “IP” je trouve qu’il y a quand même beaucoup de machines ( proxy sans aucun doute ), tu dois faire partie d’une plage d’IP qui sont testé à l’heure actuelle car pour une ddos je ne la trouve pas si soutenue :033 .

#5

Oui, tu as raison…
Du côté de TOR ?

#6

Oui, peut être. Je vais éplucher les log, en fait tout le répertoires /var/log je crois :smiley:

Fail2ban est installé mais apparemment mal configuré, va falloir que je regarde ce qu’il y a dans le jail.conf :12

#7

Salut,

denyhosts, portsentry, psad, fwsnort, aide, fail2ban, par exemple et je sais plus quoi encore d’installer, si ça me reviens … :wink:

pour iptables si ce n’est fait …

## Se protéger des attaques de type Syn Flood:  ##
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1024" > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

## Se protéger contre les Smurf Attack:  ###
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

## Eviter le source routing:  ##
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

## Désactivez l’autorisation des redirections ICMP:  ##
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
echo "0" > /proc/sys/net/ipv4/conf/all/secure_redirects

## Eviter le log des paquets icmp erroné: ##
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

## Active le logging des packets aux adresses sources falficiées ou non routable: ##
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

## Rejette les fausses connexions prétendues s'initialiser et sans bit SYN ##
iptables -A INPUT -p tcp ! --syn -m state --state NEW,INVALID -j REJECT
echo "- Rejeter les connexions sans bit SYN : [OK]"

éventuellement, si cela peut être utile … :033

#8

Merci loreleil!!

Les messages sont changés, voici ce que j’ai à présent :

kernel: [265595.544024] __ratelimit: 8 callbacks suppressed kernel: [265595.544034] Out of socket memory kernel: [265595.940021] Out of socket memory kernel: [265596.008022] Out of socket memory kernel: [265596.052021] Out of socket memory

Et ceci

#9

Salut,
Et t’arrive encore à surfer avec toutes ces règles ? :mrgreen:

#10

Bein là j’ai coupé les services tor/polipo/apache et ça va mieux d’un coup :mrgreen:

#11

Saluts,

[quote=“lol”]Salut,
Et t’arrive encore à surfer avec toutes ces règles ? :mrgreen: [/quote]

Si tu fait allusion aux règles que je proposes :116 … aucun souci depuis leur mise en place, deux ans déjà … je surf par tout les temps … :005:023