Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

syn flood + spoofing ip

Bonjour.


Je suis victime d'une attaque type :

syn flood + spoofing ip

sur les ports 80 et 3 autres ports.


Vu le spoofing ip, impossible de remonter à la source de l'attaque et exit iptables 🙁 . Je tiens à préciser que non seulement les ip sont spoofés mais aussi l'adresse MAC.


Ma machine OVH est de ce fait bloqué depuis quelques jours et OVH ne veut/peut rien faire pour m'aider.


Quelqu'un a t-il des pistes à me donner ? La personne s'obstine... meme après avoir simulé la mort du dédié pendant 2 jours elle est revenu à l'attaque.

Merci d'avance.

Je suis victime d'une attaque type :
syn flood + spoofing ip
sur les ports 80 et 3 autres ports.
???
Qu'est-ce qui vous fait dire cela ?


L'adresse MAC est propre à votre réseau local, donc si quelqu'un spoof son adresse MAC, c'est soit votre mère soit votre petite soeur.


Désolé d'être un peu méchant, mais ils reçoivent ce genre de mail quinze fois par jour et savent que cela correspond dans 99% des cas de vers automatiques, donc ils jettent automatiquement à la poubelle. Et je ne leur donnerais pas tort...


Le mieux est d'éteindre votre ordinateur pendant environ deux semaines. Passé ce délais les vers ont rongé les os et passent à un autre corps...

Ok, je sors... -->[]

Qu'est-ce qui vous fait dire cela ?

tcpdump, netstat, la masse de requete syn_recv, le nombre de requete hallucinants, la machine devient inutilisable.




Ce que je voulais dire, c'est que même l'adresse MAC des ip entrantes est fausse ( enfin celle du routeur OVH )



Oui je comprends, m'enfin c'est pas un vers mais une attaque ciblé. Quelqu'un cherche à nuire à mon site ( jalousie je pense enfin plutôt de la concurrence )




C'est pas des vers. Et même si j'arrête 2 semaines, l'attaque reviendra si c'est une histoire de concurrence...

Donc en gros je cherche à remonter à l'ip source ou l'adresse MAC.

Ok, je sors... -->[][/quote]

Justement, il y a là une grande incompréhension des réseaux.
Si l'adresse MAC n'est pas celle du routeur OVH, c'est donc que tu te fais attaquer par une adresse du même réseau que toi (ta petite soeur aurait-elle un serveur chez OVH ? 😉 )
Une adresse MAC est propre à un réseau local.

Au pire, quelle que soit l'adresse MAC, le switch de chez OVH saura d'où ça vient chez eux.

Justement, il y a là une grande incompréhension des réseaux.
Si l'adresse MAC n'est pas celle du routeur OVH, c'est donc que tu te fais attaquer par une adresse du même réseau que toi (ta petite soeur aurait-elle un serveur chez OVH ? 😉 )
Une adresse MAC est propre à un réseau local.

Au pire, quelle que soit l'adresse MAC, le switch de chez OVH saura d'où ça vient chez eux.


OVH ne veulent/peuvent rien faire pour moi. En gros c'est pas leur travail, eux ils fournissent un travail, tout le reste c'est à moi de gérer.... sympas 🙁

Donc en gros, à part OVH, personne ne peut remonter à la source ... ?

PS : tu m'as peut-être mal compris ou alors je me suis très mal exprimé mais oui l'adresse MAC est celle du réseau OVH

Ok, j'avais effectivement mal compris.
Si jamais OVH ne veut rien faire pour toi, le plus simple est de mettre en place un blocage au niveau du syn flood, avec en premier lieu:
# Autoriser les SYN Cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
C'est déjà fais, ça n'a pas arrangé la chose... 🙁