Outils personnels

Contrer l'attaque DoS isc.org : Différence entre versions

De wikiGite

(Page créée avec « L'attaque envoi une requête ANY? sur le domaine isc.org vers les serveurs DNS, en continu. Les serveurs répondent en continu au point que la bande passante est totalemen... »)
 
 
(4 révisions intermédiaires par le même utilisateur non affichées)
Ligne 1 : Ligne 1 :
L'attaque envoi une requête ANY? sur le domaine isc.org vers les serveurs DNS, en continu. Les serveurs répondent en continu au point que la bande passante est totalement prise par les réponses.
+
L'attaque envoie une requête ANY? sur le domaine isc.org vers les serveurs DNS, en continu. Les serveurs répondent en continu au point que la bande passante est totalement prise par les réponses.
  
 
Insérer cette règle soit au niveau des serveurs DNS eux-même (chaîne INPUT) mais ça n'empêche pas les requêtes de transiter entre la passerelle et le serveur DNS, même si dans ce sens la taille de la requête est limitée, ça reste de la pollution...
 
Insérer cette règle soit au niveau des serveurs DNS eux-même (chaîne INPUT) mais ça n'empêche pas les requêtes de transiter entre la passerelle et le serveur DNS, même si dans ce sens la taille de la requête est limitée, ça reste de la pollution...
Ligne 5 : Ligne 5 :
 
Soit au niveau de la passerelle (ou firewall) si on peut (chaîne FORWARD : plus efficace !)
 
Soit au niveau de la passerelle (ou firewall) si on peut (chaîne FORWARD : plus efficace !)
 
  iptables -I FORWARD -p udp -m string --hex-string "|03697363036f726700|" --algo bm --to 65535 -j DROP
 
  iptables -I FORWARD -p udp -m string --hex-string "|03697363036f726700|" --algo bm --to 65535 -j DROP
 +
 +
Si d'autres noms de domaines sont utilisés dans ce type d'attaque (ex. : "Hizbullah.me", "ietf.org"), le principe de la chaîne hexa est le suivant :
 +
* Convertir la chaîne en hexa (http://www.string-functions.com/string-hex.aspx) : "48697a62756c6c61682e6d65"
 +
* Et remplacer le point ("2e") par "03" : "48697a62756c6c6168'''03'''6d65"
 +
 +
Intégrer cette chaîne entre les "|" de la ligne iptables ci-dessus et lancer la commande.
 +
 +
[EDIT] Ceci dit, un bon Shorewall avec une limitation du nombre de requêtes DNS venant d'une même IP n'est pas mal non plus...

Version actuelle datée du 13 août 2013 à 10:18

L'attaque envoie une requête ANY? sur le domaine isc.org vers les serveurs DNS, en continu. Les serveurs répondent en continu au point que la bande passante est totalement prise par les réponses.

Insérer cette règle soit au niveau des serveurs DNS eux-même (chaîne INPUT) mais ça n'empêche pas les requêtes de transiter entre la passerelle et le serveur DNS, même si dans ce sens la taille de la requête est limitée, ça reste de la pollution...

iptables -I INPUT -p udp -m string --hex-string "|03697363036f726700|" --algo bm --to 65535 -j DROP

Soit au niveau de la passerelle (ou firewall) si on peut (chaîne FORWARD : plus efficace !)

iptables -I FORWARD -p udp -m string --hex-string "|03697363036f726700|" --algo bm --to 65535 -j DROP

Si d'autres noms de domaines sont utilisés dans ce type d'attaque (ex. : "Hizbullah.me", "ietf.org"), le principe de la chaîne hexa est le suivant :

Intégrer cette chaîne entre les "|" de la ligne iptables ci-dessus et lancer la commande.

[EDIT] Ceci dit, un bon Shorewall avec une limitation du nombre de requêtes DNS venant d'une même IP n'est pas mal non plus...