Règles iptables contre les attaques DDOS

Par Nicolas Simond
2 commentaires
27 juin 2014
Dans GNU/Linux
1/52/53/54/55/5 (7 votes, moyenne: 3,29 sur 5)
Loading...
R

Attention, cet article a plus d'une année d'ancienneté. Il est possible que les informations présentées ne soient plus à jour, spécialement dans le cadre d'un article technique.


Bonjour à tous,

 

Dans la suite de ma série d’articles sur les protections anti-DDOS je vais aujourd’hui parler de solutions plus globales, applicables par règles Iptables qui protégeront votre serveur Debian contre certains types d’attaques.

 

Je remercie le site Server Wissen sur lequel j’ai trouvé ces règles (En Allemand).

 

 

Protection contre le Synflood :

Tapez la commande suivante avec l’utilisateur root pour atténuer les attaques DDOS de type Synflood :

/sbin/iptables -A INPUT -p tcp --syn -m limit --limit 2/s --limit-burst 30 -j ACCEPT

 

Décryptage de la commande :

La commande accepte 30 connexion avant d’appliquer la limite dure de 2 connexions maximum par secondes. Au delà de ce seuil la réponse renvoyée sera un timeout.

 

 

Protection contre le Pingflood :

Tapez la commande suivante avec l’utilisateur root pour atténuer les attaques DDOS de type Pingflood :

/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

 

Décryptage de la commande :

La commande applique directement la limite dure d’une requête icmp par seconde. Au delà de ce seuil la réponse renvoyée sera un timeout.

 

 

Protection contre le scan de port :

Tapez les commandes suivantes avec l’utilisateur root pour vous prémunir d’un scan de port :

/sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -m limit --limit 1/h -j ACCEPT
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -m limit --limit 1/h -j ACCEPT

 

Décryptage des commandes :

Les commandes appliquent directement les limites dures d’une requête par heure pour empêcher l’attaquant de détecter vos ports ouverts.

 

 

Je n’ai repris que ces commandes car on peut faire ce que l’on veut avec Iptables, mais toutes les commandes trouvables sur le web ne correspondront pas à votre système et elles pourraient même rendre certains de vos services inutilisables.

 

Ces commandes couvrent la protection contre les 2 types d’attaques DDOS les plus simples et elles empêchent aussi un attaquant potentiel de découvrir les ports ouverts sur votre serveur ce qui est une bonne base.

 

FacebookXRedditLinkedInWhatsApp

A propos de l'auteur

Nicolas Simond

Ingénieur Systèmes et Réseaux et guitariste hard rock et metal à mes heures perdues.
Je suis le créateur et l'unique rédacteur d'Abyss Project, c'est ici que je note la plupart de mes procédures et quelques divagations.

Si vous l'article vous a aidé, pensez à me payer un café :)

Autres articles
Subscribe
Notify of
guest

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

2 Commentaires
Plus récents
Plus anciens Populaires
Inline Feedbacks
View all comments
micro_maniaque
micro_maniaque
8 années plus tôt

Bonjour, Je cherche toujours une manière de limité la découverte des ports ouvert avec nmap mais même avec plusieurs règles iptables de protection elle ce fait détecté très facilement. Starting Nmap 6.47 ( http://nmap.org ) at 2015-05-08 23:08 Est (heure d’été) NSE: Loaded 118 scripts for scanning. NSE: Script Pre-scanning. Initiating Ping Scan at 23:08 Scanning 151.80.***.** [4 ports] Completed Ping Scan at 23:08, 0.39s elapsed (1 total hosts) Initiating Parallel DNS resolution of 1 host. at 23:08 Completed Parallel DNS resolution of 1 host. at 23:08, 0.00s elapsed Initiating SYN Stealth Scan at 23:08 Scanning ***.***.***.** (151.80.***.**) [1000 ports]… Voir plus »

0
Répondre
Teq
Teq
9 années plus tôt

Merci, simple et efficace, exactement ce que je cherchais 😉

0
Répondre

Lire plus

Par Nicolas Simond 27 juin 2014
2 commentaires