Salut. Un pote se fait DDoS sur son dédié kimsufi OVH. J'aimerais l'aider à stopper l'attaquer.
 
monitoring iptraf :
 

 
 
un peu de log iptraf :
 

 
mon iptables :
 

 
En gras la plage ip du DDoS que j'ai essayer de contrer, mais en vain... des idées?

Je déterre car ça m'intéresse de savoir si il y a une ou des solutions efficaces, excluant les plus onéreuses.

désoler de répondre aussi tard je suppose que depuis il n'y a plus d'attaque cependant je t'envoie se site http://deflate.medialayer.com/ qui permet de iptables une ip automatiquement quand elle génère trop de connexions tcp abusive a toi de configurer le nombre de connexion a tcp a ne pas dépasser:
nano /usr/local/ddos/ddos.conf
NO_OF_CONNECTIONS=100 tu règle ceci et aussi ceci a 0 pour que sa prenne iptables en compte:
APF_BAN=0
une dernière chose a savoir la meilleur défense et l'attaque dans se genre de situation j'ai déjà gérer plusieurs team avec des kimsufi et se genre de situation mes arriver plusieurs fois j'ai repliquer avec 4 ou 5 machine jusqu'à inonder mon adversaire et j'ai laisser sa tourner jusqu'a 23h et croit moi sa calme

Comme ça c'est toi qui risque la prison. C'est intelligent.

pour bloquer les attaques de type DDOS, tu peux aussi utiliser le petit logiciel PSAD sous linux.

Si tu te prends un Ddos c'est que tes règles iptables sont mal faites / insuffisantes... Quel type d'attaque Ddos ? Attaques SYN ?

Attaque SYN oui

oh que c'est intelligent ça  
dans le meilleur des cas, si les admins d'OVH qui gèrent les serveurs remarquent ce manège, même pour 1 fois c'est la case rupture de contrat directe avec paiement jusque la fin prévue de location

L'attaque SYN c'est un des premiers trucs qu'on bloque en iptables
T'as pas mal de trucs sur le net pour t'aider à ajouter les règles qu'il te manque

 
Je demande à voir comment tu bloques si facilement un DDoS en SYN flood avec ton iptables !
 
Parce qu'avec des milliers d'IP source sont générées aléatoirement :
-m limit est dégueu et va bloquer le service pour tout le monde
-m iplimit idem
-m recent bloque en effet les DoS en SYN flood, mais il est ici totalement inutile vu que chaque IP n'envoie qu'un seul SYN...
 
Bref, c'est bien beau de protéger la CPU des serveurs, si le débit est pourri pour tout le monde, ça risque pas de bien marcher non plus... Tu peux faire la démo avec un pc et hping au cul d'une ligne ADSL sans masquerading. Ca semble bidon comme attaque, mais si tu y réfléchis bien : comment faire la différence entre un SYN légitime et un SYN de l'attaquant ? => on peut pas. Donc si on commence à les bloquer/limiter, on impacte tout le monde.
 

 
Les DDos en SYN flood sont super bien contrées par le mécanisme de SYN-cookies. Quand il est activé, lorsque ta machine a trop de sessions à ouvrir pendant un laps de temps donné, elle ne stocke plus les sessions TCP dans sa table sur simple réception de paquets SYN, elle ne le fait qu'après avoir échangé le 3 way handshake complet à chaque fois. Ceci est normalement impossible (car il faut au moins se souvenir du numéro de séquence qu'on envoie au client !), mais via une méthode assez élégante, lorsque ce mode est activé les numéros de séquence envoyés dans les SYN/ACK sont générés de manière "intelligente" (et pas trop prévisible !) pour pouvoir les retrouver sans les stocker. Du coup ton serveur ne sature pas quand on lui balance des millions de SYN.
 
Tous les firewalls propriétaires modernes le font, sous Linux tu peux modifier le paramètre :  
 
sysctl -w net.inet.tcp.syncookies=1
 
Tu peux tester ensuite avec un hping et comparer, c'est juste impressionnant
 
C'est quand même mieux de le faire sur un firewall dédié, mais bon...

Je suis pas sûr que limiter le nombre de connexions SYN par user soit si impactant que ça (dépend du type de site bien entendu). Après t'as pas mal de solutions différentes, notamment de la corrélation de logs + triggers pour être informé de l'attaque me semble être le minimum. Pour le technique je suis pas spécialiste en iptables, je vais regarder ton syn-cookie qui a l'air d'être une réponse intéressante à la problématique.

C'était surtout pour dire qu'il existait des solutions faciles pour ce genre d'attaques.

le syn cookie c'est le standard contre le syn flood. Je pensais même que c'était implémenté par défaut dans toutes les stack récentes unix/linux.

oui ça l'est.

Ca je sais pas.
 
A l'époque quand j'ai pris cette attaque, j'ai activé le tcp_syncookies sur ma machine OVH, l'attaque faisait toujours autant de dommage. Quand j'ai changé pour une dedibox, quand j'ai activé le tcp_syncookies, bizarrement avec la même attaque mais une machine différente j'ai réussi à stopper l'attaque.
 
Pourtant c'était toutes les 2 des débian 4, après peut-être que c'était un probleme de compilation sur le système OVH, je sais pas trop...