Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit :
On 2015-02-16 14:38:47 +0100, Philippe Gras wrote:
Le 16 févr. 15 à 14:18, Vincent Lefevre a écrit :
D'un autre côté, faire un DROP embête plus l'attaquant, qui va
perdre
son temps à faire des requêtes qui n'aboutiront pas. Mais...
Non, le DROP n'embête pas plus l'attaquant que ça. Tu loues un VPN à
la journée, la semaine ou au mois et t'as un abonnement identique
pour
X, Y ou Z Ko de trafic, dans une certaine limite évidemment.
Ce n'est pas le trafic qui est important ici. Quand on fait un DROP,
le ssh qui a été lancé reste actif sur la machine cliente pendant un
certain temps, alors qu'avec un REJECT, le ssh termine immédiatement.
Donc avec des DROP, l'attaquant peut donc faire moins de tentatives
s'il passe son temps à tomber sur des DROP (même s'il fait des ssh
en parallèle, le parallélisme a ses limites).
C'est vrai dans le principe, mais dans la pratique ça revient au
même… Avec
la différence que ce dialogue établi entre le serveur et le bot
semble avoir un
effet sur la persistance des attaques.
Le problème avec cette assertion, c'est qu'il faudrait installer un
robot sur son
serveur pour se spammer soi-même afin de vérifier l'efficacité du
DROP et du
REJECT, ça représente une charge de travail que je n'ai pas envie
d'assumer.
Je suppose que les bots sont livrés à l'origine de telle façon qu'ils
s'arrêtent au
moment où ils reçoivent un message ICMP. Ça me semble cohérent… mais je
ne peux pas le certifier !
Toujours est-il que j'observe de meilleurs résultats avec le REJECT !
[...]
Le fait d'avoir changé le DROP en REJECT m'a permis d'en décourager
beaucoup, en seulement quelques jours. Je suis en train de
généraliser
l'option sur tous mes filtres.
Avec le DROP quand tu lèves le ban, tu vois les mêmes IP
réapparaître.
On a vraiment l'impression que les mecs ne récupèrent pas les données
de leurs bots, c'est n'importe quoi !
En même temps, cela permet de repérer les adresses IP en question.
Ouais, mais qu'est-ce que tu veux prendre comme mesures avec des IP
situées
en Russie ou en Chine ? C'est comme si elles étaient sur la planète
Mars !
Les gouvernements pourraient facilement limiter le spam et le
piratage, avec les
fournisseurs d'accès nationaux. Mais comme il y a un gros bizness
derrière c'est
complètement hors de question…
--
Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/
blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/
20150216140954.ga27...@xvii.vinc17.org
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive:
https://lists.debian.org/2e33e366-60e1-4957-bfd7-b78af6760...@worldonline.fr