On 2015-02-15 12:22:34 +0100, Philippe Gras wrote: > Le 15 févr. 15 à 12:08, BERTRAND Joël a écrit : > > >Philippe Gras a écrit : > >> > >>Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit : > >> > >>>Philippe Gras a écrit : > >>>>OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY ! > >>>> > >>>>Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit : > >>>> > >>>>>Philippe Gras a écrit : > >>>>>>Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas > >>>>>>très bien > >>>>>>compris la façon dont ça se passe et pourquoi ça décourage > >>>>>>l'attaquant. > >>>>> > >>>>> Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si > >>>>>le > >>>>>port est ouvert (et saturé) ou fermé, ou s'il y a même une machine > >>>>>sur > >>>>>cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. > >>>>>Avec > >>>>>un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à > >>>>>autre chose. > >>>>> > >>>>> Cela fonctionne pour l'instant parce que les réseaux zombie > >>>>>veulent passer inaperçus. Donc si une machine est un peu protégée, > >>>>>ils > >>>>>passent à une autre. > >>>> > >>>>Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu… > >>>>repasseras > >>>>;-) > >>> > >>> La boîte noire n'est jamais une solution quand on parle de > >>>sécurité. > >> > >>La boîte noire ? Que veux-tu dire par-là ? > > > > Que faire croire qu'il n'y a aucune machine qui répond sur cette adresse > >IP n'est pas la solution. Rejeter le paquet signifie "j'ai bien vu ta > >tentative et je t'emmerde".
D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre son temps à faire des requêtes qui n'aboutiront pas. Mais... > Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des > réclamations abuse > > dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas trouvé > comment faire. un abuse serait peut-être mieux. Ceci dit, je ne sais pas si les principaux FAI concernés (en général chinois) prendraient des mesures. Pour info, j'ai ceci dans mon /etc/hosts.deny: # Permanent SSH ban due to many attempts (according to fail2ban) # CHINANET-ZJ-HU (CN) sshd: 61.174.48.0/21 # HEETHAI-HK (CN) sshd: 103.41.124.0/24 # CHINANET-ZJ-SX (CN) sshd: 115.231.216.0/21 # CHINANET-ZJ-HU (CN) sshd: 122.225.96.0/19 # CHINANET-JS (CN) sshd: 218.2.0.0/16 # UNICOM-JL (CN) sshd: 222.160.0.0/14 > Quand elles aboutissent chez des gens sérieux perchant dans des pays > sérieux, l'effet > > rafraîchissant est garanti. Je reçois plein de pourriels de chez OVH en ce > moment, et je > > sais qu'en les dénonçant, ils vont cesser leur petit jeu débile. > > Les mecs ont déjà usé 3 IP pour me faire ch… et je suppose qu'ils en ont > d'autres. Si je J'ai déjà blacklisté plus de 500 adresses IP de chez OVH (toutes provenant de sous-réseaux propageant le même modèle de spam: quand j'en vois un, je me dis que ça vient de chez OVH, et effectivement). > pouvais leur faire suspendre leur abonnement, ça me ferait bien plaisir :-). Ce n'est pas ça qui va gêner les spammeurs. Tant qu'il n'y a pas de grosse conséquence financière... -- Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/> 100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/> Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20150216131856.ga17...@xvii.vinc17.org