Ddos 96.6 Mb/s

Support Debian
#1

Bonjour à tous,

Voilà une question, existe-il un fichier log qui enregistre toutes les connexions sur une debian. (je ne parle pas des tentative de connexion sur les users). Si oui est-il possible de me donner l’astuce car dans /var/log rien ne correspond.

Merci pour vos futur réponse debian 6.0 apache/mail drop

EDITE : je vous demande ça car une personne flood notre serveur avec plusieurs IP mais je ne sait pas les quelle il y a un débit de “Entrée:96.6 Mb/s” source OVH pour le débit, merci de m’aider

#2

Petit up désolé de flood mais ovh ferme la machine si le flood est trop importent

#3

Si tu parles de connexions réseau, pour identifier l’attaquant il faut mettre des règles iptables avec la cible LOG.
Mais même si tu bloques ces IP au niveau de ta machine (DROP dans iptables), ça n’empêchera pas l’attaquant de continuer à t’envoyer des paquets donc ça ne résout pas le problème du côté d’OVH. :confused:

#4

iftop te permet de voir une connexion qui te sature à ce point. Une entrée à 96MB/s est quand même loin d’être négligeable, c’est difficile d’imaginer que ce sont de simples établissement de connexions. Vérifies les services où ça se passe.

Donc en clair

iftop -P -n

Tu cherches le port où ça se passe et celui qui est concerné.

Si ça coince, logues toutes les connexiosn via iptables sur mn et analyse le fichier, tu peux aussi tracer le bazar avec tcpdump

Exemple:
#iftop -P -n -f"not port ssh"

qui te filtre le iftop en enlevant les connexions ssh.

#5

Merci de vos réponses

Via la commande : tcpdump > logs2.txt j’ai trouvé l’ip de l’attaquant qui est seulement un serveur ovh aussi … comment se protéger des futurs attaques ?

(j’avais plus accès au ssh…)

Merci

#6

[quote=“lolit0”]Merci de vos réponses

Via la commande : tcpdump > logs2.txt j’ai trouvé l’ip de l’attaquant qui est seulement un serveur ovh aussi … comment se protéger des futurs attaques ?

(j’avais plus accès au ssh…)

Merci[/quote]

Pour résister il y a des choses à mettre ne place mais seulement pour limiter l’impact.

On ne peu pas en tant que client empêcher un DDOS, un hébergeur en générale isole la machine et attends que ça passe :033

#7

Niveau attaquant depuis serveur ovh.

Ouvre un support sur ovh pour dire qu’on … (ddos,flood, ou je ne sais quoi) ton serveur depuis un serveur d’ovh.
Normalement ils feront le nécessaire car sa leurs concerne, surtout que ce genre d’attaque est généralement interdit.

De plus si je me trompes pas, de serveur ovh vers serveur ovh c’est tres/plus rapide la connexion, donc l’attaque a une meilleur amplification.