Tes posts sont toujours aussi pro et grandioses à ce que je vois

Merci beaucoup pour ton explication du procédé !!

Mais comment on s'en protège ?

Il y a certains hébergeurs qui offrent un service, pour se protéger des attaques DDOS. Mais ce sont des services payants, et ça ne protège pas á 100%.

Salut,

Il existe en effet des protections Cloud efficace qui vont dévier le réseau vers des machines supportant l'attaque permettant de ne pas saturer l'http cible.

Elles ont un coût, certains services d'hébergement le proposent. Maintenant, avec un DOS basique de ce type, tu ne feras tomber que légèrement des petits sites hébergés dans de petits hébergeurs Free, et encore.

Maintenant, imaginons que tu as une vraie attaque DDOS venant de tes propres machines ou voire même de bots qui vont automatiser la tâche et augmenter la charge en passant par un vaste réseau zombie (genre chine, Europe de l'Est, …).

Le souci sera donc de désamorcer le processus le plus rapidement possible.

On va vérifier les systèmes en réseau avec les commandes w ou uptime.

On va savoir en Gbyte les valeurs externes d'utilisation de notre bande passante. Utile à beaucoup d'administrateurs surtout à l'époque avec le Download Loop des images qui faisait tomber le serveur entier.

Ensuite, il nous faudra donc une fois localiser un transfert extérieur à notre domaine, localiser les IP entrantes afin de les placer dans nôtre Firewall. Là on va comprendre qu'un firewall et iptable ont toute leur importance.

Cela vous montrera les adresses IP (deuxième colonne) et le nombre total de connexions de chacun (premier). Si vous voyez, que vous avez trop de connexions de certaines adresses IP, vous pouvez les bloquer à l'aide de la commande suivante:

-I va bloquer ou blacklister cette IP et –D va débloquer l'IP
On va bloquer une IP suivit de sa plage (l'ensemble du sous-réseau).

Aussi, vous devez vous assurer qu'iptable est en place et fonctionne à l'aide de :

Si iptables est arrêté, vous devez le démarrer:

Un script fourni par OVH, mais connut permet de démarrer iptable à chaque fois, je vous fournis le lien : http://guide.ovh.com/firewall

Vous pouvez regarder vos entrées actuelles en utilisant iptables :

Après avoir ajouté toutes les entrées que vous souhaitez à la liste noire d'iptable, vous devez sauvegarder les données iptable sorte que iptable seraient chargés au prochain démarrage du serveur. Il peut être fait en utilisant la commande suivante:

1. A savoir qu'il faut impérativement avoir audité son réseau auparavant pour arrêter les ports et service inutiles.
2. Placer un pare-feu efficace qui filtre à l'entrée et automatiser iptable.
3. Utiliser un service payant qui va dévier l'attaque et permettre à notre réseau à partir d'un cache de rester accessible.
4. Faire des audits réguliers de ces systèmes et réseaux afin de rester maître de ses mises à jour et surtout de ses services. 80% des attaques sont dues à la défaillance d'un système, des réseaux ouverts qui tournent pour rien, autoriser sur le réseau que les personnes y travaillant, vérifier la présence de scans non permis,…

Des attaques de qui ?

La plupart du temps, l'attaque se fera, de l'intérieur soit par un exploit soit à l'aide de programmes affiliés tels que le très connus Trinoo.

Ensuite, des attaques sont menées par bots, mais soyons honnête, ils n'attaqueront que de très grosses entreprises et pour monnayer de l'argent. Ils ne vont pas compromettre une attaque pour un site lambda de bidule.

Et dernièrement, les petites attaques de script Kiddies qui utilisent essentiellement hulk, Slowloris, Hammer,HOIC,LOIC… Qui ne fera que piquer sauf s'ils se mettent à plusieurs. Sur de grosses plates-formes hébergées, ils seront lockés direct.

Une attaque DOS ou DDOS c'est rigolo et pourtant.


Les VPN ne servent à rien. Je vais te raconter une histoire véridique. La police sur un fait suspect peut demander l'ouverture de tous tes comptes et Email.
Facebook open, E mail (FAI, Hotmail…) open … Puis saisis de ton Pc et condamnation avec grosse amende en prime. De la prison, tu n'en feras peut-être pas, mais tu bosseras toute ta vie pour rembourser.
Voilà pourquoi les plus gros DDOSERS ne sont pas européens et que les plus forte attaque ne se font pas en Europe.

Regarde ce graph., il relate les statistiques 2015.



Les attaques sont surtout des Ddos SYN flood. Voici une définition par Kapersky.
Les attaques sont aussi importantes sur windows server que linux, alors n'amalgamons pas sur la grandeur de linux à ce niveau.

Pour finir, une question que tu te pose certainement : pourquoi Chine et Etats unis ?

Je te donne la réponse toute prête de viruslist :

Voila j'espère avoir répondu a ta question. Je pense qu'il est plus important d'apprendre à se défendre et comprendre à utiliser les réseaux que d'utiliser ce type de script mais ce n'est que mon avis personnel.


Source : OVH, Wikipédia, Viruslist, Kapersky et moi-même.

Personnellement, je me protège de ce genre d'attaque par l'utilisation d'iptables et de fail2ban. J'ai aussi ajouté un script maison récupérant les ip bannies par fail2ban et les ajoutant à la DB gérant les bannissement de iptables (étant donné que fail2ban Semble perdre sa liste de bannissement au redémarrage).

Je ne sais pas si ca suffirait pour bloquer une vraie DDOS mais le système semblé fonctionner. Je reçois plusieurs mails me prévenant de bannissement et ce tous les jours.

Bonjour, à tous ...

Excuse-moi, Dreamus, mais je corrige ton propos :

=> '-I' ne bloque pas ... L'écriture de l'option '-I' sert à insérer la règle en question en début de chaîne - dans ce cas-là, la chaîne INPUT, de la table par défaut nommée 'filter'.
Ce qui sous-tend qu'on peut cibler toute autre chaîne, quelle soit une chaîne utilisateur ou pas.

De même, on peut insérer une écriture, là où l'on veut, par l'ajout de l'écriture relative à la position désirée, telle que : '-I 6' ... qui ajoutera la règle à la ligne 6 de la chaîne choisie.

=> C'est la cible 'DROP' qui va avoir l'action de "bloquer" ... mais en réalité, elle ne bloque pas, au sens où l'humain l'entend, le signifie ; elle supprime les paquets réseaux qui répondent à la règle, en question, sans en avertir le logiciel source.

=> Pour finir, c'est l'écriture de l'option '-A' qui va ajouter en fin de chaîne ...


=> Une petite précision :

L'option 'v' définit le mode verbeux ...

Et, mieux, utiliser donc :

Je vous laisse découvrir la différence ;-)

----

Pour le reste, merci pour les explications, et autres images ... je trouve cela tip-top !

Salut et merci pour ta correction. J'était debout à 4h du Mat et c'est vrai que j'ai taper in facto cette réponse vers 7h, j'ai du commettre des erreurs et j'en suis désolé.

Tu a bien fait _42. C'est comme cela que l'on progresse en apportant des améliorations les uns les autres sur un sujet.

A+

Un script de cet acabit - bash - :

https://git.framasoft.org/hucste/too...ter/manage_ips

(une version shell devrait bientôt exister !)