Arrêt de DDOS TCP SYN et attaques par inondation UDP
Je voudrais savoir s'il est possible d'arrêter une TCP SYN OR attaques ICMP Flood si ces attaques sont détectées à temps. Quel est le processus le plus précis pour filtrez ces adresses si le seul moyen est de bloquer les adresses IP du botnet.
Il est probable que ces attaques seront effectuées en utilisant l'usurpation d'adresse IP, la première ligne de défense encourage votre FAI à adopter BCP38 pour éviter l'usurpation d'adresse IP.
Le problème d'une attaque par déni de service est que vous devez souvent empêcher le trafic malveillant de vous atteindre en premier lieu. Vous ne pouvez pas faire beaucoup de choses localement, mais vous pouvez toujours opter pour un service comme CloudFare (qui implémente également BCP38) car ils peuvent nettoyer ce type de paquets avant de vous atteindre.
SYN Flood peut être atténué en activant SYN Cookies . Les cookies SYN empêchent un attaquant de remplir vos files d'attente SYN et rend vos services inaccessibles à l'utilisateur légitime.
Sous Linux, voici quelques paramètres que vous pouvez utiliser pour activer et configurer efficacement les cookies SYN:
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 2048 > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo 3 > /proc/sys/net/ipv4/tcp_synack_retries
Pour que ces paramètres se chargent automatiquement au démarrage, ajoutez ces lignes au fichier /etc/sysctl.conf:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 3
Il est également possible de protéger une boîte Windows, comme décrit dans cet article de Microsoft . Windows Vista et versions ultérieures ont la protection contre les attaques SYN activée par défaut.
Depuis l'inondation UDP, malheureusement, vous ne pouvez pas faire grand-chose. Cependant, dans un déluge ICMP/Ping, vous pouvez configurer votre serveur pour ignorer Pings, donc une attaque ne sera qu'à moitié efficace car votre serveur ne consommera pas de bande passante pour répondre aux milliers de Pings qu'il reçoit.
Vous pouvez le faire en exécutant cette configuration:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
Et naturellement, ajoutez cette ligne au fichier /etc/sysctl.conf:
net.ipv4.icmp_echo_ignore_all = 1
Cependant, certains systèmes de surveillance nécessitent l'activation de l'écho ICMP pour fonctionner. Certains serveurs de location vous obligeront à laisser ICMP Echo activé à cause de cela. Mais vous pouvez toujours utiliser iptables pour désactiver Ping dans certaines interfaces seulement.
Sous Windows, cela peut être fait avec la commande:
netsh firewall set icmpsetting 8 disable
Le pare-feu Windows doit être actif.
À titre d'exemple d'une grave attaque UDP, je suis administrateur réseau principal dans une université de Californie, et il y a quelques jours, nous avons eu une grave attaque par inondation UDP de pas moins de 553 hôtes distincts à travers le monde .. Oui vraiment .. I a seulement été en mesure de limiter nos (grands) tuyaux entrants de notre fournisseur et de filtrer partiellement certains des entrants et certains des UDP de réponse résultants .. Ceci est un vecteur d'attaque vraiment méchant .. Toujours à travailler pour trouver une meilleure réponse suite de contre-mesures à déployer lorsque cela se produit à nouveau.