Bonjour à tous,

 

Dans la suite de ma série d’articles sur les protections anti-DDOS je vais aujourd’hui parler de solutions plus globales, applicables par règles Iptables qui protégeront votre serveur Debian contre certains types d’attaques.

 

Je remercie le site Server Wissen sur lequel j’ai trouvé ces règles (En Allemand).

 

 

Protection contre le Synflood :

Tapez la commande suivante avec l’utilisateur root pour atténuer les attaques DDOS de type Synflood :

/sbin/iptables -A INPUT -p tcp --syn -m limit --limit 2/s --limit-burst 30 -j ACCEPT

 

Décryptage de la commande :

La commande accepte 30 connexion avant d’appliquer la limite dure de 2 connexions maximum par secondes. Au delà de ce seuil la réponse renvoyée sera un timeout.

 

 

Protection contre le Pingflood :

Tapez la commande suivante avec l’utilisateur root pour atténuer les attaques DDOS de type Pingflood :

/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

 

Décryptage de la commande :

La commande applique directement la limite dure d’une requête icmp par seconde. Au delà de ce seuil la réponse renvoyée sera un timeout.

 

 

Protection contre le scan de port :

Tapez les commandes suivantes avec l’utilisateur root pour vous prémunir d’un scan de port :

/sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -m limit --limit 1/h -j ACCEPT
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -m limit --limit 1/h -j ACCEPT

 

Décryptage des commandes :

Les commandes appliquent directement les limites dures d’une requête par heure pour empêcher l’attaquant de détecter vos ports ouverts.

 

 

Je n’ai repris que ces commandes car on peut faire ce que l’on veut avec Iptables, mais toutes les commandes trouvables sur le web ne correspondront pas à votre système et elles pourraient même rendre certains de vos services inutilisables.

 

Ces commandes couvrent la protection contre les 2 types d’attaques DDOS les plus simples et elles empêchent aussi un attaquant potentiel de découvrir les ports ouverts sur votre serveur ce qui est une bonne base.