Eviter DoS

[Grung]

Bonjour,

je n'arrive pas à comprendre comment on peut éviter une attaque de ce type, j'ai lu pas mal d'articles à ce sujet, mais aucun n'a réussi à m'expliquer ou c'était vraiment pas précis..

on m'a parlé de puits de filtrage, de protocole BGP, de redirection du trafic.
En gros ce que j'ai compris c'est que dès qu'un routeur détecte ce genre de trafic, il le redirige vers un "puit", mais coment il arrive à savoir que c'est une attaque DoS..??

Pouvez vous éclaicir ma lanterne ?

merci d'avance

ps: mon dernier post a été fermé au sujet du ldap, je comprend tout à fait cette fermeture par rapport aux mesures de sécurité

[fred-info]

Salut,

quand tu as la reponse tu nous la poste.

A+

[arapaho]

Pouvez vous éclaicir ma lanterne ?

Mais très certainement. Je vais même le faire avec un cas très concret de DoS, et tu trouveras la réponse toi même.

Imagine-toi sur une étendue herbeuse, bornée par deux installations métalliques en forme de H, tes pieds rivés au sol. D'un seul coup, une quinzaine de types en noir débarque à 40 mètres de toi en courant très vite. Parmis-eux, tu reconnais McCaw, Rokocoko, McAllister ... Bref, ils arrivent très très vite, ils sont beaucoup, ils sont compacts et il vont te faire un bon massage de la figure: que fais-tu ?

[Muzo]

Parmis-eux, tu reconnais McCaw, Rokocoko, McAllister ...

Comment les reconnaitre, si justement tu ne les connais pas? (sincèrement je me pose la même question que monsieur)

[Grung]

Moi personnellemnt, en face de ce tas qui fonce sur moi, je me barre. Mais le pc, lui va pas se barrer, il va rester planté là.

Et comme tu dis dans cette grosse masse, comment je vais reconnaître McCaw, Rokocoko, McAllister qui sont bien mes "amis"?

Peut être que si le routeur repérerait des paquets similaires alors il les enverrait dans un puit de suppression , non..? c'est confus tout ça...

[Muzo]

Bon, j'ai utilisé mon éponge qui me sert de cerveau.

Je sais repérer un cas de DOS: une même ip envoie un flux important de requête à la seconde -> lui sans le connaitre je l'esquive sur le terrain.

Par contre comment détecter, que c'est un nombre incalculable de machines différentes qui m'envoie une requête pour faire du DOS? Comment ne pas les confondre avec des internautes passifs (ou avec les spectateurs assis le long du terrain qui regardes le match)?

[Grung]

En limitant le nombre de connection.?

[S0l0]

Peut être que si le routeur repérerait des paquets similaires alors il les enverrait dans un puit de suppression , non..? c'est confus tout ça...

il tag les paquets reseaux

Je sais repérer un cas de DOS: une même ip envoie un flux important de requête à la seconde -> lui sans le connaitre je l'esquive sur le terrain.

faut donc limiter le nombre de connection par utilisateur.

Par contre comment détecter, que c'est un nombre incalculable de machines différentes qui m'envoie une requête pour faire du DOS?

mettre un timeout sur les connections mais comme tu l'as dit .

Comment ne pas les confondre avec des internautes passifs (ou avec les spectateurs assis le long du terrain qui regardes le match)?

Resumer : tu tag les paquets reseaux , tu met un timeout bas mais pas trop , limite le nombre de connection par utilisateur , et les softs du style utiliser pour flooder yahoo and co il y a quelques annees on les stop en matchant les paquets (header falsifier tjrs les memes ) on les ecarte facilement , le plus difficile c'est de lutter contre les botnets ...

Bref, ils arrivent très très vite, ils sont beaucoup, ils sont compacts et il vont te faire un bon massage de la figure: que fais-tu ?

au culot je leur fonce dessus en criant tres fort et en mimant certains geste du style : je sort un truc d'un colt a la ceinture qui en fait contient mon pda , voir mon holster qui contient le blackberry du taf ca marche quasiment a tous les coups ...

[Grung]

Merci S0LO pour ces réponses

bon maintenant il faut que ça décante