Salim Gasmi <[EMAIL PROTECTED]> wrote: Bonsoir,
Solution possible: Assigner une nouvelle IP pour ton client dans les DNS. Ensuite, rejetter tout le traffic cibl� vers l'ancienne IP dans les routers en amont. Dans ce cas, deux possibilit�s: 1-) Si les machines attaquantes ciblent directement l'adresse IP de ton client, alors la solution est efficace. Du moins aussi longtemps que "l'attaqueur en chef" apprenne que l'IP a chang� et qu'il en informe les machines attaquantes. 2-) Si les machines attaquantes ciblent un URL plut�t qu'une IP, elles doivent donc se r�f�rer � un serveur DNS. Auquel cas, cette solution sera efficace seulement durant le d�lais requis pour que la modification dans les DNS se propage dans tous les serveurs DNS. -Dj >Bonsoir, > >Un de nos clients subit depuis vendredi soir une attaque continue >de flood SYN sur son serveur web . > >Ce dont je suis sur: > >1: C'est distribu�, car le traffic entre par tous mes upstreams providers. > >2: Le flood oscille entre 256Kb/s et 20Mb/s. > >3: Ca s'arrette de temps en temps et ca reprend de facon qui semble aleatoire. > >4: Le serveur web est sous Linux Fedora 2 core, kernel 2.6.6 > >Avez vous deja eu ce genre de probleme, et si oui qu'avez vous reussi a faire ? > >Bref, toute aide est la bienvenue, car la j'ai epuis� mes ressources, j'ai >coll� un ateon >en frontal avec 3 reverse proxy (squid sur du bi Xeon 2.8 Ghz) et cela ne >suffit pas, le site >reste injoignable des que le flooder y met les moyens . > >J'ai jou� avec les parametres du kernel (syncookies, tcp_backlog et >syn_retries) >mais cela ne change pas grand chose a ce debit la .... > >Je suis intimement convaincu que je ne m'en sortirai pas >sans un equipement specialis� en frontal, mais je suis preneur de toute >suggestion. > >Merci d'avance > >Salim Gasmi ---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
