[Solution] DDOS

[Hyruma]

Bonsoir ou Bonjour je vous remercie de tenir compte de ce poste qui aura pour but de vous aider.

 

 

- si la DDoS consiste a "remplir votre tuyau", celui qui a la plus grosse gagne. Et si vous avez 40 serveurs connectés a 100Mbps qui vous "ping flood", ca va mal pour vous En clair, si du traffic quelconque arrive sur votre serveur et rempli votre bande passante "IN", votre serveur est dans les chous; point barre.

Solution ; crier chez OVH (***) qui est censé bloquer "plus loin de vous" sur une plus grosse ligne.

Prevention ; ne vous attirez pas ce genre d'ennemi, changez d'ip (dns dynamique & low ttl needed); ou ayez un serveur dans deux datacenters (cold spare suffit).

 

- si la DDoS consiste a bouffer vos ressources CPU ( flood de requetes sur scripts PHP lourds, et apparentés) ou vos sockets IP ( syn flood, etc)

solution ; si les IPs sont pas spoofées (socket réelement connecté) : pour eviter de bricoler dans l'urgence ; avoir des scripts sous la main qui bloquent les IPs des connections en synwait/timewait/connected (un embryon fut deja posté ici, meme si le script donné ici est assez mauvais - c'est une bonne base de travail pour en faire un bon ), ainsi que des parsers de logs "web" qui extraient des IPs dans un format recyclable pour les shitlister rapidement avec iptables.

prevention : (1) patcher son kernel (syn cookies pour se proteger du traffic spoofé, etc), (2) bien configurer apache en etant defensif (timeout, timewait, mod_evasive, etc), (3) timeout/ram php

ou reverse proxying

 

Je vous remercie de votre lecture.

[Verdey]

Mais personne ne se fait ddos, ici, pourquoi est ce que tu poste ce truc super mal agencé ?

[Geniks]

Le serveur subit des DDoS depuis ce matin si c'est pas plus tôt : j'ai plus la notion du temps je suis en vacances XD

[Verdey]

Ah bon. Surement d'un autre serveur jaloux.

 

[julcity]

Mais personne ne se fait ddos, ici, pourquoi est ce que tu poste ce truc super mal agencé ?

 

Heu je trouve ton post un peu dur perso...déjà ce n'est pas parce que tu ne comprends pas son post que qu'il est mal agancé . Je pense que ceux qui s'y connaissent un minimum comprendrons très bien ses conseils.

Et comme le dit Geniks:La page d'accueil de minefield nous informe d'attaque de DDOS depuis maintenant deux jours.

Bon après c'est vrai que normalement le problem est reglé avec leur "autoban" donc je pense Genikis que le problème est reglé =)

[Hyruma]

Ouais j'espère aussi après pour la formulation je ne suis pas

un roi.

Donc j'espère les avoir aidés un minimum.

[Verdey]

Mais personne ne se fait ddos, ici, pourquoi est ce que tu poste ce truc super mal agencé ?

 

Heu je trouve ton post un peu dur perso...déjà ce n'est pas parce que tu ne comprends pas son post que qu'il est mal agancé . Je pense que ceux qui s'y connaissent un minimum comprendrons très bien ses conseils.

Et comme le dit Geniks:La page d'accueil de minefield nous informe d'attaque de DDOS depuis maintenant deux jours.

Bon après c'est vrai que normalement le problem est reglé avec leur "autoban" donc je pense Genikis que le problème est reglé =)

 

Qui t'a dis que je ne le comprenais pas ?

Je dis seulement qu'il est mal agencé, ce n'est pas une critique, il n'y a aucune volonté de ma part d'être dur la dedans. Mais je pense que dok et la crew qui sont quand meme des devs webs savent se défendre contre un DDOS qui est surement des plus basiques.

[florent]

Un pote ma toujours dit si tu subis une attaque ddos renvoie la en quintuple fois...

 

 

D'accord ---->[]

[Verdey]

Un pote ma toujours dit si tu subis une attaque ddos renvoie la en quintuple fois...

 

 

D'accord ---->[]

 

Le meilleur moyen pour déclencher un massive DDOS des deux coté, parfaitement inutile et stérile.

[Kepsyn]

Ddos massive sur le port 25655 consistant à envoyer des packet SYN en boucle.

 

Nous sommes maintenant sous ddos depuis 32h mais le problème n'a que peu durée, on a mis en place des règles d'autoban et ça marche bien. Actuellement des 100ène d'ip sont ban. Pas mal d'Arabie saoudite. L'attaque est un flop et ceux qui la lance (j'espère qu'ils lisent) doivent bien rager d'avoir payer un réseau botnet dans le vent

 

Globalement on a blindé nos règles via iptable Hyruma.

[Verdey]

Mwé, si ca se trouve il est a eux le botnet et ils vont le spread pour la prochaine fois. Enfin, j'espère que non.

Mais c'est comme ca entre serveurs, le leader se prends tout dans la gueule.

Ça c'est beaucoup vu avec Millenium qui s'est fait DDOS / InjectSQL / Infiltrer de nombreuses fois.

[Kepsyn]

T'inquiètes pas, y a juste un truc qu'ils oublient, c'est la lois, et nous, on hésite pas à l'utiliser.

[Verdey]

Ouais mais la loi c'est lent.

Mais bon,dans l'absolu, ils peuvent plus rien faire, donc le problème est reglé ?

Pas d'idées de la d'ou ca vient non plus ?

[Kepsyn]

oh c'est réglé depuis déjà plus de 24h mais ça continue...dans le vent. Nos sécu font le boulo

[Verdey]

Je suis donc rassuré .

[Hyruma]

Merci Kepsyn de m'avoir répondu,

je suis rassuré mais si le problème subsite j'aimerai ou plutot nous aimerons vous aidez.

[Cal Praxon]

Malheureusement, je ne pense pas qu'on puisse beaucoup les aidés. La seule chose qu'il reste à faire c'est attendre que les gars se lassent en priant que la sécurité résiste.

 

Après, peut-être envisager de porter plainte mais sur internet, la loi est beaucoup plus lente que dans la vie de tout les jours.

[Druyk]

Et si vous changer de port ? Vous pouvez peut être gagner du temps, nan ?

[Oneillcod]

Bien joué a vous le staff de Minefield.

 

PS: +1 a l'auteur cela peut-être une méthode très efficace car testé et approuvé sur un serveur que j'avais sur un autre jeux il y a un petit moment...