Bonjour j’ai actuellement un serveur qui est constamment attaqué par du syn flood sur le port 80.
les différentes solutions que j’ai mis en place :

1. dans le /etc/sysctl.conf:

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048

2. Mise en place d’un iptables pour bannir certains pays dangereux ( Turquie et compagnie…)

• sudo iptables -A INPUT -p tcp --syn -m limit --limit 6/s --limit-burst 10 -j DROP

3. fail2ban qui scan les error.log

Option : j’ai essayé ce script :

#/bin/sh
for i in `netstat -tanpu | grep "SYN_RECV" | awk {'print $5'} | cut -f 1 -d ":" | sort | uniq -c | sort -n | awk {'if ($1 > 3) print $2'}`
do echo $i
iptables -A INPUT -s $i/24 -j DROP
done

il ne me donne pas entièrement satisfaction…

Je ne sais plus quoi faire d’autre… Un peu d’aide ?
Merci

De plus j’ai beaucoup de log de ce genre :

*:80 2.91.212.61 - - [23/Jun/2012:07:58:45 -0400] "GET / HTTP/1.0" 403 515 "1cejgo9ru3tfa.biz" "Mozilla/4.0 (compatible; NaverBot/1.0; http://help.naver.com/delete_main.asp)"
*:80 2.91.212.61 - - [23/Jun/2012:07:58:45 -0400] "GET / HTTP/1.0" 403 515 "4pkch3m4.ru" "Mozilla/5.0 (Windows; U;XMPP Tiscali Communicator v.10.0.1; Windows NT 5.1; it; rv:1.8.1.3) Gecko/20070309 Firefox/2.0.0.3"
*:80 2.91.212.61 - - [23/Jun/2012:07:58:45 -0400] "GET / HTTP/1.0" 403 515 "b9v4ag428.com" "Mozilla/5.0 (X11; U; Linux i686; en-GB; rv:1.7.6) Gecko/20050405 Epiphany/1.6.1 (Ubuntu) (Ubuntu package 1.0.2)"
*:80 2.91.212.61 - - [23/Jun/2012:07:58:45 -0400] "GET / HTTP/1.0" 403 477 "186k99.biz" "Mozilla/2.0 (compatible; MSIE 3.02; Update a; AK; Windows NT)"
*:80 2.91.212.61 - - [23/Jun/2012:07:58:45 -0400] "GET / HTTP/1.0" 403 515 "3hdgnbi1b9.info" "Mozilla/5.0 (X11; U; Linux 2.4.2-2 i586; en-US; m18) Gecko/20010131 Netscape6/6.01"
*:80 2.91.212.61 - - [23/Jun/2012:07:58:45 -0400] "GET / HTTP/1.0" 403 515 "8m15h6.ru" "Mozilla/5.0 (compatible; InterseekWeb/3.x)"

Salut,

J’ai eu ce problème et il était considérablement diminué en bannissant progressivement toutes les “Républiques Démocratiques”.
J’ai dû abandonner cette méthode, mon mini-serveur s’essoufflant.

Mais çà donnait de bons résultats

Hello,
j’ai mis en place ce tuto et les attaques ont considérablement diminué grâce au ban des IP des assaillant.
majorxtrem.be/2009/05/01/blo … rveur-web/

Bonjour,

Je pense que changer le port du serveur 80 est impossible ?

non impossible… vis-à-vis du client c’est impossible.

Si les adresses des attaquants se trouvent dans les logs d’apache, alors ce n’est pas un SYN flood et l’activation des syncookies est inefficace.

Rappel :

• SYN flood = création de connexions semi-ouvertes par l’envoi de paquets SYN seuls sans confirmer la connexion. L’application n’est pas informée.
• Présence dans les logs de l’application = connexion complète au niveau TCP, donc l’attaquant envoie l’ACK suite à l’envoi du SYN/ACK par le serveur, et envoie une requête HTTP.

lorsque je faisais :
netstat -tan | grep "SYN_RECV"
j’avais plus de 230 connexions. Je pense qu’il y avait du flood et des attaques ddos aussi :
dans mes logs:

Jun 23 03:35:05 * kernel: net_ratelimit: 154 callbacks suppressed Jun 23 03:35:05 * kernel: nf_conntrack: table full, dropping packet. Jun 23 03:35:05 * kernel: nf_conntrack: table full, dropping packet. Jun 23 03:35:05 * kernel: nf_conntrack: table full, dropping packet. Jun 23 03:35:05 * kernel: nf_conntrack: table full, dropping packet. Jun 23 03:35:05 * kernel: nf_conntrack: table full, dropping packet. Jun 23 03:35:05 * kernel: nf_conntrack: table full, dropping packet. Jun 23 03:35:05 * kernel: nf_conntrack: table full, dropping packet. Jun 23 03:35:05 * kernel: nf_conntrack: table full, dropping packet. Jun 23 03:35:05 * kernel: nf_conntrack: table full, dropping packet. Jun 23 03:35:05 * kernel: nf_conntrack: table full, dropping packet.

De plus dans les logs apache j’avais aussi pleins de requêtes http

il existe le module mod_security sous apache qui est pas mal pour se protéger des attaques.

que signifie la l’erreur suivante ? :

ce qui entraîne une erreur au niveau du fichier de log apache :

[Sat Jun 23 07:58:45 2012] [error] [client 2.91.212.61] client denied by server configuration: proxy:http://XXX/ , referer: 8m15h6.ru

j’ai mis en place l’ensemble des ip à bannir sur mon site perso : hayou.fr/liste-iptables-ipban/

Salut,

Les critères qui ont guidés tes choix seraient un plus

[quote=“ggoodluck47”]Salut,

Les critères qui ont guidés tes choix seraient un plus [/quote]
pas bête ggoodluck47

j’ai fais un filtre avec fail2ban pour ce genre de DOS HTTP :

ajouter le fichier /etc/fail2ban/filter.d/apache-nodnsuse.conf

[Definition] failregex = ^\[[^\]]*\]\s+\[error\]\s+\[client \] client denied by server configuration:\s ignoreregex=

et ensuite le fichier /etc/fail2ban/filter.d/apache-flood.conf

[code]# Fail2Ban configuration file
[Definition]

*:80 75.54.102.5 – - [23/Jun/2012:20:19:40 -0400] « GET / HTTP/1.0″ 403 515 « 5ia6g.ru » « Mozilla/5.0 (compatible; Abonti/0.8 – http://www.wvv695.com) »

failregex = :80. « GET / HTTP/1.0″ 403[/code]

Re,

Si je comprends bien ce choix est guidé par les attaques que TU as subi et donc il est valable pour tout le monde !

[quote=“ggoodluck47”]Re,

Si je comprends bien ce choix est guidé par les attaques que TU as subi et donc il est valable pour tout le monde ![/quote]
Je subissais, je subis et je subirai… la seule chose que je peux faire pour l’instant c’est de surveiller et de mettre en place un archi plus complexe pour prévenir ce genre d’attaques…

apres toutes les protections requises contre du ddos il reste un petit truc : le retour a l’envoyeur, mais c’est un peu delicat

Salut,

Que se passe t-il …

[quote=“Avis fourni par Google”]Navigation sécurisée
Page de diagnostic pour hayou.fr

Quel est l’état actuel du site hayou.fr ?

Ce site est répertorié comme suspect. Une visite sur celui-ci peut endommager votre ordinateur.

Une activité suspecte sur une partie de ce site a été détectée 9 fois au cours des 90 derniers jours.

Que s’est-il passé lors de la visite de ce site par le robot Google ?

Sur les 15 pages du site que nous avons testées au cours des 90 derniers jours, un certain nombre (10) entraînait le téléchargement et l'installation de logiciels malveillants sans l'autorisation de l'utilisateur. La dernière visite effectuée par le robot Google sur ce site a eu lieu le 2012-12-24, et le dernier contenu suspect sur celui-ci a été détecté le 2012-12-14.

Parmi les logiciels malveillants, les éléments suivants sont présents : 17 exploit(s).

Des logiciels malveillants sont hébergés sur 2 domaine(s), y compris ovquqaip.ru/, syenial.com/.

3 domaine(s) semblant servir d'intermédiaire(s) pour la distribution de logiciels malveillants auprès des visiteurs de ce site ont été identifiés (y compris ppmanises.com/, wiseinvestadvisors.com/, ovquqaip.ru/).

Ce site était hébergé sur 2 réseau(x), y compris AS42363 (PHPNET), AS15169 (Google Internet Backbone).

Ce site a-t-il servi d’intermédiaire pour favoriser la propagation de logiciels malveillants ?

Au cours des 90 derniers jours, hayou.fr ne semble pas avoir servi d'intermédiaire pour l'infection de sites.

Ce site a-t-il hébergé des logiciels malveillants ?

Non, ce site n'a hébergé aucun logiciel malveillant au cours des 90 derniers jours.

Que s’est-il passé ?

Dans certains cas, des tiers peuvent ajouter du code malveillant sur des sites légitimes, ce qui déclenche l'affichage du message d'avertissement.

Étapes suivantes :

Revenir à la page précédente
Si vous êtes le propriétaire de ce site Web, vous pouvez, à l'aide des outils Google pour les webmasters, demander qu'il fasse l'objet d'un examen. Pour plus d'informations sur le processus correspondant, consultez le Centre d'aide pour les webmasters.[/quote]