Je vais peut être dire une connerie mais est ce que ça ne serait pas
plus façile de moduler l'entrée au frontal avec un maximum de requêtes
par secondes ?
Généralement, une iP affiche 1 ou 2, parfois jusqu'à 5 pages en même
temps. Au delà, la requête est filtré voire blacklisté pendant x
minutes. Comme le module cban permet de le faire sur Apache.
C'est ce que j'applique généralement sur mon réseau, ça marche plutôt
bien, et je n'ai généralement qu'une seule plainte tous les 10 000 accès
par des personnes qui veulent flooder la plupart du temps (donc la règle
fonctionne).
Ca ne résoud pas le problème du tuyau, ça peut même engorger le CPU,
mais ces deux points peuvent facilement être résolut.
Cordialement,
Jérémy Martin
Responsable Technique Freeheberg.com
Mail : j.mar...@freeheberg.com
Web : http://www.freeheberg.com
Sidney Boumendil a écrit :
2009/8/7 cra <c...@snaiso.com>
Bonjour.
Une attaque DDoS de type SYN flood n'a pas pour seul but de saturer
les tuyaux, mais a aussi pour but de saturer les capacités de
processing de équipements en frontal, en particulier les Firewalls.
Une solution envisageable est de mettre avant le Firewall un
équipement dont le seul travail sera de fonctionner en tant que proxy
TCP transparent.
Le but est de ne pas forwarder de SYN vers le Firewall, d'envoyer un
SYN ACK au client et de ne forwarder l'ensemble que lorsque le ACK
final arrive.
Par conséquent, les équipements du reste du réseaux ne doivent plus
traiter que les sessions "légitimes".
Peut être faudrait il se poser la question de l'intérêt d'empiler des
équipements de "sécurité" s'il faut eux même les protéger.
Pourquoi pas un IPS qui protège le load balancer qui protège le
firewall qui protège le reverse proxy firewall applicatif qui protège
... (rajouter votre équipement favori) ... les serveurs ?
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
