Attaques incessantes contre mon serveur VPS

jejedu67
Messages : 9
Inscription : 27 novembre 2015, 15:50

Attaques incessantes contre mon serveur VPS

Messagepar jejedu67 » 27 novembre 2015, 16:01

Bonjour,

Le possède un VPS sous CentOS 7. Je reçois des attaques DDOS de type SYN flood et ACK, les seules qui passent vraiment au travers de l'anti DDOS OVH. Pour le SYN flood j'ai trouvé la commande suivante:
for i in ` netstat -tanpu | grep "SYN_RECV" | awk {'print $5'} | cut -f 1 -d ":" | sort | uniq -c | sort -n | awk {'if ($1 > 3) print $2'}` ; do echo $i; iptables -A INPUT -s $i/24 -j DROP; done

Je ne sais pas vraiment si elle est efficace, qu'en pensez vous ?

Auriez vous d'autres commandes afin de protéger davantage mon VPS ?

J'ai fermé les ports non utilisés via le firewall OVH. Je n'utilise jamais le protocole UDP, je l'ai donc déjà bloqué via iptables, j'ai également autorisé le port 80 uniquement pour le serveur de mon site (puisque rien d'autre n'y accède) et le port 22 pour mon IP. Cependant de nombreux autres ports sont encore ouverts (environ 15) et je souhaite savoir si vous avez des solutions afin de bloquer les attaques plus efficacement. En effet, à chaque attaque cela provoque une déconnexion du SSH (donc impossible de faire un tcpdump pendant l'attaque) et en jeu (serveur de jeu) cela provoque un blocage de 1 à 3 minutes le temps que Arbor mitige l'attaque. L'attaque provient sans aucun doute possible d'un botnet et je sais même à partir de quel site l'attaque est lancée. Malheureusement la quantité d'IP est tellement énorme qu'il semble impossible de les bloquer individuellement.

Pour finir, j'ai la commande tcpdump -i ens18 port not 22 qui me permet de lister les paquets qui arrivent mais auriez vous une commande tcpdump encore plus efficace ? Par exemple pour enregistrer cela dans un fichier pour les 100 000 paquets qui arrivent après le lancement de la commande.

Merci d'avance pour votre aide

Beta-Pictoris
Messages : 865
Inscription : 07 janvier 2014, 21:48
Localisation : Angers, France

Re: Attaques incessantes contre mon serveur VPS

Messagepar Beta-Pictoris » 27 novembre 2015, 19:57

Avec iptables, tu peux, utiliser les syncookies et le syncache et, surtout, le synproxy.

Regarde les liens suivants :

http://www.mi.parisdescartes.fr/~osalem ... ASCOET.pdf
http://www.linuxplanet.org/blogs/?cat=5289
http://rhelblog.redhat.com/2014/04/11/m ... /#more-273

jejedu67
Messages : 9
Inscription : 27 novembre 2015, 15:50

Re: Attaques incessantes contre mon serveur VPS

Messagepar jejedu67 » 02 décembre 2015, 01:58

Bonsoir,

Désolé pour le réponse tardive.
J'ai été ici pour le synproxy:
http://rhelblog.redhat.com/2014/04/11/m ... ux-7-beta/
Mais le problème c'est qu'il est question du port 80 alors que moi j'ai plus de 10 ports à protéger, je ne comprend pas bien ce que je dois faire.

Concernant le syncache j'ai été ici:
http://www.linuxplanet.org/blogs/?cat=5289
Mais le fichier /boot/loader.conf n'existe pas, en tout cas chez moi.

Pour les syncookie j'ai fais ceci:
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

Merci d'avance
Bonne nuit

Beta-Pictoris
Messages : 865
Inscription : 07 janvier 2014, 21:48
Localisation : Angers, France

Re: Attaques incessantes contre mon serveur VPS

Messagepar Beta-Pictoris » 02 décembre 2015, 22:19

En ce qui concerne le synproxy, soit tu crées une règle par port, soit tu essayes de faire du multiport: -m multiport --dport port1,port2,port3,...
Regarde ceci: http://www.cyberciti.biz/faq/linux-ipta ... #more-7179

jejedu67
Messages : 9
Inscription : 27 novembre 2015, 15:50

Re: Attaques incessantes contre mon serveur VPS

Messagepar jejedu67 » 04 décembre 2015, 01:05

Bonsoir,

Désolé du retard.
J'ai déjà fais un truc qui ressemble à cela.

iptables -A INPUT -p udp -j DROP
iptables -A OUTPUT -p udp -j DROP
iptables -A INPUT -p tcp -i ens18 --dport 14187 -j ACCEPT
iptables -A INPUT -p tcp -i ens18 --dport 14005 -j ACCEPT
iptables -A INPUT -p tcp -i ens18 --dport 14008 -j ACCEPT
iptables -A INPUT -p tcp -i ens18 --dport 14005 -j ACCEPT

Je n'utilise jamais le protocole UDP.

Mes règles ne font-elles pas la même chose que
iptables -A tableName -p tcp --match multiport --dports 14187,14005,14008,14005 -j ACCEPT
??
Je doute d'ailleurs que ça fonctionne avec "tableName" qui ne correspond à rien, à moins que j'ai rien compris.

Bonne nuit