Attaque DDOS

Bonjour,
La charge de mon serveur dédié chez ovh,montait aux alentours de 900, et en arretant apache et mysql, cela revenait à 0. J’ai cru que le probleme venait réelement de ces deux services. Alors apparament il s’agirait, d’après un amis, d’une attaque DDOS.

Je releve l’ip avec :

puis je rajoute dans IPtable :

Voilà, donc j’aurais quelques questions :stuck_out_tongue: :
1°) Est-ce que ma méthode ci-dessus est vraiment efficace ?
2°) Comment voir si IPtable est lancé ?
3°) Je ne trouve pas comment bloquer une plage d’adresse IP, ou autoriser une plage d’adresse IP, par exemple 80.***.***.*** - 99.***.***.*** seulement auront accès, etc…


Merci d’avance, en espérant que vous puissiez vraiment m’éclairer :slightly_smiling:.

Bonne après midi

[quote=“darkfreed”]Bonjour,
La charge de mon serveur dédié chez ovh,montait aux alentours de 900, et en arretant apache et mysql, cela revenait à 0. J’ai cru que le probleme venait réelement de ces deux services. Alors apparament il s’agirait, d’après un amis, d’une attaque DDOS.

Je releve l’ip avec :

puis je rajoute dans IPtable :

Voilà, donc j’aurais quelques questions :stuck_out_tongue: :
1°) Est-ce que ma méthode ci-dessus est vraiment efficace ?
2°) Comment voir si IPtable est lancé ?
3°) Je ne trouve pas comment bloquer une plage d’adresse IP, ou autoriser une plage d’adresse IP, par exemple 80.***.***.*** - 99.***.***.*** seulement auront accès, etc…


Merci d’avance, en espérant que vous puissiez vraiment m’éclairer :slightly_smiling:.

Bonne après midi[/quote]

Je vais te mettre sur la voie mais pas de donner une solution toute faite car il n’y en a pas. Il n’y a que des solutions pour atténuer l’impact de ce type d’attaque.

1/ Attention, logguer toutes les tentatives de SYN est plutot un danger si tu ne limites pas la taille de tes logs. Cela est vrai pour tous les logs. Beaucoup de personnes logguent tout sur leur système et ainsi le sature de la même façon.

2/ Ta méthode n’est pas efficace, car elle ne protège pas contre les botnets.
L’utilisation des syncookies n’est pas recommandé non plus car elle ne respecte pas le protocole TCP et peux aussi permettre de se faire hacker.

3/ Pour matcher un set d’ips tu ne peux pas le faire directement avec iptables, il faut regarder du côté d’ipset.

oki merci ^^.

un amis m’a dit que c’était une attaque ddos, ok, mais comment on peut le savoir s’il s’agit reelement d’une attaque ddos ? dans un log ? etc…

Merci,

En utilisant les logs avec iptables, ou avec un IDS

Avant de regarder une attaque ddos, regarde le processuss qui monte la charge. Si c’est MySQL, tu as peut être une requête qui explose ta machine, avec une base de données de 1000 enregistrements et 4 tables, tu peux faire exploser MySQL pour peu que tu ais oublié de mettre une clef où il faut…

en tout cas, et pour avoir testé, tu peux, avec une requete mysql mal formulée, générer un nombre impressionnant de résultats de sortie par rapport aux entrées de tes tables (du genre 100 à 1000 fois plus). Donc si tu as des requetes “maison” qui trainent : teste les ^^.