Maniatux's Blog

Welcome to the internet

Et hop ! Un deuxième VPS chez OVH...

Rédigé par Xavier - - 8 commentaires

Mon serveur @home est la cible d'attaques de type SYN flood depuis quelques temps. Au début elles n'étaient pas très importantes mais depuis peu elles ont gagné en intensité, m'obligeant à bloquer une dizaines d'IP par jour (à la main). Les différentes astuces sur le web faisant appel à iptables ou au fichier sysctl.conf ont aidé, mais devant la virulence de l'attaque je dois toujours intervenir pour bloquer les IP.

Mon serveur @home tourne sous Debian Jessie et fourni plusieurs containers LXC dont un qui fait tourner une instance Yunohost et héberge mes mails. Quand une attaque violente se produit les mails ont des difficultés à arriver et j'ai du mal à les lire. De plus cela sature mon routeur en amont (la Bbox) ce qui me ralenti la connexion à internet pour toutes les machines du réseau (ping 6000ms, 50% de pertes de paquets).

Aujourd'hui je suis à court d'options, mon serveur ne semble pas assez robuste pour filtrer efficacement toutes ses requêtes. Il me faudrait une appliance pare-feu en amont pour filtrer tout cela, mais je n'ai pas envie de m'encombrer avec du matériel supplémentaire ou devoir à nouveau tout réinstaller.

J'ai déjà dit du bien du VPS Classic 1 chez OVH, qui me permet de faire tourner le blog maniatux.fr pour un coût dérisoire (2,39€ TTC par mois, soit moins de 30€ par an...). Ces VPS sont protégés contre les attaques ddos donc à priori je ne serai plus embêté.

Je reconnais que c'est une solution de facilité, mais je ne suis pas équipé pour contrer du ddos chez moi.

8 commentaires

#1 alpha_one_x86 a dit :

Je me demande pourquoi ont te prendrai comme cible? Tu parle de technologie, de libre comme moi. Et pourtant j'ai du luter contre le spam, contre le piratage, mais pas encore contre les DDOS.

#2 alpha_one_x86 a dit :

J'aimerai bien des détails sur l'attaque (seulement SYN?), ce que tu as fait, pourquoi tu le fait à la main et pas en auto?

#3 Xavier a dit :

@alpha_one_x86 :
Je pense que ce sont des attaques automatisées pour faire chier le monde car mon domaine a du se retrouver visible quelque part.
Je ne peux pas bloquer du synflood automatiquement. Il aurait fallu faire un script mais j'ai peur de bloquer des choses légitimes. J'ai vu également qu'on peut faire un synproxy et divers limitations mais mon serveur ne semble pas assez costaud pour ça. Face au coût du VPS je n'ai pas hésité longtemps (après 2 semaines j'en avais marre).

#4 Doo a dit :

Je suis tombé sur ton article dans mes RSS, avant d'avoir fini le mien à ce sujet. La location d'un VPS n'est pas forcément la solution à ton problème :) :
http://dooby.fr/index.php?article14/ratelimiter-une-connexion-http-avec-haproxy

Le gros confort que tu vas tirer d'un réseau hébergeur, ce sont les protections de type ARBOR, qui permettent d'éviter de te faire DDoSer avec du TCP ou de l'UDP, mais le SYN FLOOD peut s'arrêter avec un reverse proxy configuré comme il faut ;-)

#5 Xavier a dit :

@Doo :
Intéressant mais cela ne marche que pour nginx or je me mange aussi des attaques sur le port 25.
Pour le moment chez OVH je n'ai pas encore de problèmes.

#6 Rqph a dit :

En projet de DUT on avait pensé à utiliser conntrack (module netfilter qui s'utilise avec IPTables) pour garder l'état de la connexion et limiter le nombre de demande de SYN par IP. Évidemment, ça marche bien quand une seule personne te flood, sinon sur un DDoS ça sert à rien ^^

Je suppose que tu as essayé les syncookies, syncache & cie ^^

#7 Xavier a dit :

@Rqph :
Oui, le seul truc que je n'ai pas essayé c'est le synproxy.

#8 Doo a dit :

http://maniatux.fr/index.php?article534/et-hop-un-deuxieme-vps-chez-ovh#c1418033930-1
@Xavier :
En fait, la beauté de HAProxy, c'est que ça marche avec TOUT :-) tu peux mettre n'importe quelle application TCP derrière, et elle tournera sans être embêtée par ce genre de problème. J'ai mis un serveur IRC, un serveur mail (imap/smtp/imaps/smtps), un serveur FTP, etc. derrière, résultat : 0 souci ;-)

Les commentaires sont fermés.