Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1508 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [iptable] Bannir un ensemble de hosts similaires

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[iptable] Bannir un ensemble de hosts similaires

n°1309012
ecliptux
Oui. Enfin si peut-être.
Posté le 10-04-2012 à 10:43:49  profilanswer
 

Hello,
 
Mon serveur est régulièrement attaqué par un ensemble de serveurs chez OVH.
Dans les logs, ça ressemble à ça (extrait) :
 

Citation :

ns209483.ovh.net - - [08/Apr/2012:19:14:15 +0200] "GET /forum/topic/19457-ecris-moi-ta-planete/ HTTP/1.0" 200 167087 "-" "-"
ns224191.ovh.net - - [08/Apr/2012:19:14:19 +0200] "GET /forum/topic/15360-voir-tous-les-messages-dun-membre/ HTTP/1.0" 200 150322 "-" "-"
ns209194.ovh.net - - [08/Apr/2012:19:14:10 +0200] "GET /forum/topic/20784-vos-scenes-cultes-de-films/ HTTP/1.0" 200 168610 "-" "-"
ns224191.ovh.net - - [08/Apr/2012:19:14:51 +0200] "GET /forum/topic/21485-bonsoir/ HTTP/1.0" 200 39352 "-" "-"


 
A grand coup d'iptable, j'arrive à faire redescendre la charge :

iptables -A INPUT -p all -s ns224191.ovh.net -j DROP


 
Ma question serait soit d'automatiser la tâche, soit de trouver une règle du genre :

iptables -A INPUT -p all -s ns*.ovh.net -j DROP


... puisque l'attaquant utilise (pour l'instant) tjrs des serveurs OVH
 
Seulement après recherche, iptable ne prends pas les caractères joker comme l'étoile.
 
Comment vous y prendriez-vous pour contrecarrer une telle attaque ?

mood
Publicité
Posté le 10-04-2012 à 10:43:49  profilanswer
 

n°1309013
o'gure
Modérateur
Multi grognon de B_L
Posté le 10-04-2012 à 10:50:56  profilanswer
 

Déjà commence par avertir ovh via un mail abuse@ovh.net qu'il fasse le ménage chez eux...

 

Ensuite iptables/netfilter ne travaille pas avec les noms de domaines pour de multiples raisons :
- il ne va pas s'amuser à faire des reverses lookup à chaque packet qu'il reçoit (même avec un cache, ça serait complètement débile)
- pour une adresse IP donnée, de multiple FQDN/domaine peuvent être derrière et à un fqdn, plusieurs adresses IP peuvent être derrière

 

La dernière partie de cette article règlerait ton problème de manière propre
http://www.bortzmeyer.org/rate-limiting-dos.html

 


Message édité par o'gure le 10-04-2012 à 10:57:02
n°1309017
ecliptux
Oui. Enfin si peut-être.
Posté le 10-04-2012 à 11:21:33  profilanswer
 

J'ai contacté le service abuse et je vais regarder le lien que tu proposes.
Merci pour cette réponse rapide :)

n°1309057
High Plain​s Drifter
Posté le 10-04-2012 à 17:55:12  profilanswer
 

Ce que tu veut faire, c'est de l’analyse de logs, et MàJ les règles iptables dans la foulée.
 
Ça ressemble beaucoup à fail2ban tout ça, de plus si je me souvient bien il est scriptable, ça doit être possible d'écrire un module pour gérer ce cas.
 
EDIT lien : http://www.fail2ban.org/wiki/index.php/Main_Page


Message édité par High Plains Drifter le 10-04-2012 à 18:01:40

---------------
| < Ceci n'est pas une pipe.

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [iptable] Bannir un ensemble de hosts similaires

 

Sujets relatifs
Iptable + opnvpen + br0 mais traffic sort toujours par eth0Tous mes hosts sont DOWN
Timeout session avec parfeu IptableNagios et fichier hosts.cfg
Probleme avec mes Virtual Hosts Apache 2[PAM-LDAP] Controle des hosts par netgroups
Creation de virtual hostsDebian et potsentry, Bannir des IP automatiquement !
probleme de resolution de nom entre dns et fichier hostscomment faire ? iptable nat pdest random
Plus de sujets relatifs à : [iptable] Bannir un ensemble de hosts similaires

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.040 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR