Filtrer les paquet

villers · Février 20, 2016, 5:28pm

Bonjour je refais un topic car selui d’en dessous n’est pas le même sujet. je cherche comment filtrer, avec iptables, les paquet ayant une taille de fenetre tcp bien précise (512).

PascalHambourg · Février 20, 2016, 5:29pm

A ma connaissance il n’y a pas de correspondance ou d’option spécifique, mais ça doit être faisable avec la correspondance u32. Par contre elle n’est incluse en standard dans le noyau qu’à partir de la version 2.6.23. Pour les versions antérieures il faut patcher avec le patch-o-matic-ng de Netfilter.

panthere · Février 20, 2016, 5:29pm

c’est ici http://www.linux-france.org/prj/inetdoc/guides/iptables-tutorial/explicitmatches.html#lengthmatch

PascalHambourg · Février 20, 2016, 5:29pm

panthere :
A moins que j’aie lu de travers, villers parle de taille de fenêtre, non de taille de paquet.

villers :
Une petite précision. Veux-tu filtrer sur le contenu du champ “window” de l’en-tête TCP des paquets ou bien sur la taille de fenêtre effective, qui dépend de l’option TCP “window scale” (fenêtre effective = champ fenêtre * 2^facteur d’échelle) ? Dans le second cas, je crains que la correspondance u32 soit insuffisante, l’option de facteur d’échelle n’étant transmise qu’à l’établissement de la connexion dans les paquets SYN.
Est-ce indiscret de demander quel est le but ultime de la manoeuvre ?

villers · Février 20, 2016, 5:29pm

Re bonjour,
Oui c’est bien le contenue du champ qu’il faut filtrer

comme règle pour filtrer un win a 512

Car je subi une attaque dos sur mon dédié avec un syn flood, et les addreses son spoofées.Au vue des ttl il y a 4 serveur qui envoies des requettes et que toutes les requettes SYN envoyé durant le syn flood on une win de 512.
Ce qui me fait dire que les ip sont spoofée est que je recois plus de 1.5 Millions de connection en 30 secondes, et que chacune de ses connections a une adresse ip différente.

Pendant cette attaque je suis allez voir dans mon panel chez ovh et j’ai regarder le debi de conection il est fénoménal
Entrée : 76.4 Mb/s
Sortie : 58.7 Mb/s

et les packet sont de
Entrée : 9562.4 packet/s
Sortie : 5660.8 packet/s

fran.b · Février 20, 2016, 5:29pm

Effectivement, j’ai regardé les sources du noyau, je n’ai rien vu qui traite directement du paramètre window scaling d’un paquet donc la règle u32 a l’air de s’imposer. Ça marche?

Je sais bien que c’est très amusant d’écrouler un serveur mais là tout de même, pour un serveur de jeu et durant 2-3 jours consécutifs, je trouve ça beaucoup… surtout vu les moyens mobilisés: il doit quand même mettre à genoux les machines. Tu n’as pas idée d’où ça sort?

villers · Février 20, 2016, 5:29pm

J’ai trouvé la plage ip des dedié qui m’ataque ;=) je cherche juste a pouvoir faire un ban d’une plage d’ip 205.152.0.0 - 205.152.255.255 comment doige faire?

panthere · Février 20, 2016, 5:29pm

$eth=eth1
ban_ip_1="224.0.0.0-224.0.0.255"
iptables -A OUTPUT -o $eth -m iprange --dst-range $ban_ip_1 -j DROP

filtre en entrée j’ai pris sa dans le mien en vrac :smt002

villers · Février 20, 2016, 5:29pm

[quote]20:10:47.025628 IP ns28236.ovh.net.ssh > 252.88.74-86.rev.gaoland.net.3457: P 834950970:834951086(116) ack 1114668112 win 63888
20:10:47.117974 IP ns28236.ovh.net.ssh > 252.88.74-86.rev.gaoland.net.3457: P 116:232(116) ack 1 win 63888
20:10:47.027667 IP ns28236.ovh.net.48974 > 213.186.33.99.domain: 22066+ PTR? 252.88.74.86.in-addr.arpa. (43)
20:10:47.032421 IP 205.152.7.170.38497 > ns28236.ovh.net.6900: R 421782770:421782770(0) ack 748486006 win 5840 <mss 1460>
20:10:47.032436 IP 31.30.39.177.2469 > ns28236.ovh.net.6900: S 2023896476:2023896476(0) win 512
20:10:47.032492 IP ns28236.ovh.net.6900 > 31.30.39.177.2469: R 0:0(0) ack 2023896477 win 0
20:10:47.032495 IP 205.152.7.205.45623 > ns28236.ovh.net.6900: R 904411738:904411738(0) ack 1452074164 win 5840 <mss 1460>
20:10:47.032499 IP 205.152.7.172.16091 > ns28236.ovh.net.6900: R 1793147963:1793147963(0) ack 391027109 win 5840 <mss 1460>
20:10:47.032502 IP 205.152.7.168.13673 > ns28236.ovh.net.6900: R 1200845133:1200845133(0) ack 601722332 win 5840 <mss 1460>
20:10:47.032505 IP 205.152.7.204.50795 > ns28236.ovh.net.6900: R 1507985671:1507985671(0) ack 3935220243 win 5840 <mss 1460>
20:10:47.032509 IP 205.152.7.163.20902 > ns28236.ovh.net.5121: R 1592689895:1592689895(0) ack 1833372231 win 5840 <mss 1460>
20:10:47.032511 IP 51.190.87.67.2472 > ns28236.ovh.net.6900: S 901985586:901985586(0) win 512
20:10:47.032529 IP ns28236.ovh.net.6900 > 51.190.87.67.2472: R 0:0(0) ack 901985587 win 0
20:10:47.032530 IP 205.152.7.171.49158 > ns28236.ovh.net.6900: R 794775536:794775536(0) ack 2927471964 win 5840 <mss 1460>
20:10:47.032534 IP 205.152.7.192.65487 > ns28236.ovh.net.6900: R 196476185:196476185(0) ack 732684764 win 5840 <mss 1460>
20:10:47.032537 IP 127.208.46.213.36357 > ns28236.ovh.net.6900: S 1038505700:1038505700(0) win 512
20:10:47.032541 IP 241.186.227.43.36360 > ns28236.ovh.net.6900: S 683429145:683429145(0) win 512
20:10:47.032546 IP 205.152.7.198.25830 > ns28236.ovh.net.6900: R 1997934601:1997934601(0) ack 1547446867 win 5840 <mss 1460>
20:10:47.032552 IP 205.152.7.170.38497 > ns28236.ovh.net.6900: R 0:0(0) ack 1 win 5840 <mss 1460>
20:10:47.032554 IP 209.102.113.225.36371 > ns28236.ovh.net.6900: S 1367931495:1367931495(0) win 512
20:10:47.032590 IP ns28236.ovh.net.6900 > 209.102.113.225.36371: R 0:0(0) ack 1367931496 win 0
20:10:47.032592 IP 205.152.7.231.28739 > ns28236.ovh.net.6900: R 1463142220:1463142220(0) ack 3852123171 win 5840 <mss 1460>
20:10:47.032595 IP 205.152.7.204.50795 > ns28236.ovh.net.6900: R 0:0(0) ack 1 win 5840 <mss 1460>
20:10:47.032597 IP 113.237.48.65.36375 > ns28236.ovh.net.6900: S 1400910038:1400910038(0) win 512
20:10:47.032612 IP ns28236.ovh.net.6900 > 113.237.48.65.36375: R 0:0(0) ack 1400910039 win 0
20:10:47.032615 IP 205.152.7.171.49158 > ns28236.ovh.net.6900: R 0:0(0) ack 1 win 5840 <mss 1460>
20:10:47.032618 IP 205.152.7.168.46377 > ns28236.ovh.net.6900: R 36454011:36454011(0) ack 758078298 win 5840 <mss 1460>
20:10:47.032620 IP 205.152.7.168.60749 > ns28236.ovh.net.6900: R 1855533505:1855533505(0) ack 2758373192 win 5840 <mss 1460>
20:10:47.032622 IP 205.152.7.200.58274 > ns28236.ovh.net.6900: R 984437193:984437193(0) ack 1813016152 win 5840 <mss 1460>
20:10:47.032626 IP 26.227.215.253.36377 > ns28236.ovh.net.6900: S 1154400126:1154400126(0) win 512
20:10:47.032640 IP ns28236.ovh.net.6900 > 26.227.215.253.36377: R 0:0(0) ack 1154400127 win 0
20:10:47.032642 IP 88.235.77.110.2479 > ns28236.ovh.net.6900: S 2099694448:2099694448(0) win 512
20:10:47.032657 IP ns28236.ovh.net.6900 > 88.235.77.110.2479: R 0:0(0) ack 2099694449 win 0
20:10:47.032658 IP 181.131.2.55.2480 > ns28236.ovh.net.6900: S 404036483:404036483(0) win 512
20:10:47.032693 IP ns28236.ovh.net.6900 > 181.131.2.55.2480: R 0:0(0) ack 404036484 win 0
20:10:47.032694 IP 166.114.161.50.36378 > ns28236.ovh.net.6900: S 158615679:158615679(0) win 512
20:10:47.032710 IP ns28236.ovh.net.6900 > 166.114.161.50.36378: R 0:0(0) ack 158615680 win 0
20:10:47.032712 IP 78-5-147-77-static.albacom.net.2481 > ns28236.ovh.net.6900: S 515714987:515714987(0) win 512
20:10:47.032726 IP ns28236.ovh.net.6900 > 78-5-147-77-static.albacom.net.2481: R 0:0(0) ack 515714988 win 0
20:10:47.032728 IP 205.152.7.172.16091 > ns28236.ovh.net.6900: R 0:0(0) ack 1 win 5840 <mss 1460>
20:10:47.032731 IP 205.152.7.163.20902 > ns28236.ovh.net.5121: R 0:0(0) ack 1 win 5840 <mss 1460>[/quote]

Ci vous voyez d’autre ip a ban dite le je vais tester ta commande merci ;=)

villers · Février 20, 2016, 5:29pm

[quote]iptables v1.3.6: Couldn’t load target `DROp’:/lib/iptables/libipt_DROp.so: cannot open shared object file: No such file or directory

Try iptables -h' or 'iptables --help' for more information. ./iptables: line 110: =eth1: command not found Bad argumentiprange’
Try `iptables -h’ or ‘iptables --help’ for more information.[/quote]

il y a cette erreur.

J’ai bien recopier ton code dans un fichier et j’ai lancé ce fichier

$eth=eth1 ban_ip_1="224.0.0.0-224.0.0.255" iptables -A OUTPUT -o $eth -m iprange --dst-range $ban_ip_1 -j DROP

villers · Février 20, 2016, 5:29pm

DSL j’avais un bug dans mon script et 2emement il ne faut pas modif $eth=eth1 en eth=eth1 ?

Encore une petite question pour les ban en INPUT je dois faire comment?

fran.b · Février 20, 2016, 5:29pm

# iptables -A INPUT -s 205.152.0.0/16 -p tcp -j DROPdevrait faire l’affaire. Panthère (ta règle n’a rien à voir, elle interdit la diffusion sur une adresse multicast en local…)

Pour info:

[quote]~$ whois 205.152.0.0

OrgName: BellSouth.net Inc.
OrgID: BELL
Address: 575 Morosgo Drive
City: Atlanta
StateProv: GA
PostalCode: 30324
Country: US

ReferralServer: rwhois://rwhois.eng.bellsouth.net:4321

NetRange: 205.152.0.0 - 205.152.255.255
CIDR: 205.152.0.0/16
NetName: BELLSNET-BLK1
NetHandle: NET-205-152-0-0-1
Parent: NET-205-0-0-0-0
NetType: Direct Allocation
NameServer: AUTH-DNS.ASM.BELLSOUTH.NET
NameServer: AUTH-DNS.MIA.BELLSOUTH.NET
NameServer: AUTH-DNS.MSY.BELLSOUTH.NET
Comment:
Comment: For Abuse Issues, email abuse@bellsouth.net. NO ATTACHMENTS. Include IP
Comment: address, time/date, message header, and attack logs.
Comment: For Subpoena Request, email ipoperations@bellsouth.net with “SUBPOENA” in
Comment: the subject line. Law Enforcement Agencies ONLY, please.
RegDate: 1995-03-02
Updated: 2007-02-28

RAbuseHandle: ABUSE81-ARIN
RAbuseName: Abuse Group
RAbusePhone: +1-404-499-5224
RAbuseEmail: abuse@bellsouth.net

RTechHandle: JG726-ARIN
RTechName: Geurin, Joe
RTechPhone: +1-404-499-5240
RTechEmail: ipoperations@bellsouth.net

OrgAbuseHandle: ABUSE81-ARIN
OrgAbuseName: Abuse Group
OrgAbusePhone: +1-404-499-5224
OrgAbuseEmail: abuse@bellsouth.net

OrgTechHandle: JG726-ARIN
OrgTechName: Geurin, Joe
OrgTechPhone: +1-404-499-5240
OrgTechEmail: ipoperations@bellsouth.net

ARIN WHOIS database, last updated 2008-04-21 19:10

Enter ? for additional hints on searching ARIN’s WHOIS database.

[/quote]