Re: Protection contre un DDOS tcp open

On Wed, May 16, 2007 at 12:11:31AM +0200, François Boisson <[EMAIL PROTECTED]> wrote a message of 25 lines which said: > J'ai du mal à croire qu'un gars ait dix mille machines à sa > disposition pour te polluer mais je ne comprends pas comment il > fait... C'est un petit botnet. Les plus gros

Re: Protection contre un DDOS tcp open

On Wed, May 16, 2007 at 12:03:33AM +0200, François Boisson <[EMAIL PROTECTED]> wrote a message of 33 lines which said: > Ces connexions peuvent se faire à l'aveugle non (i.e sans avoir la > réponse, on envoit un paquet «SYN» et on se moque du «ACK» qui > revient. Il y a donc de grande chances q

Re: Protection contre un DDOS tcp open

S'il n'y a pas de point commun entre les adresses IP sources, je vois mal ce qu'iptables ou n'importe quel autre outil de filtrage réseau peut apporter dans la mesure où le mal est fait : la connexion est établie, occupant des ressources du serveur, et plus aucun paquet n'est transmis. (ce qui

Re: RE : Re: Compiler le noyau à partir de la sarge

fred a écrit : ben durand <[EMAIL PROTECTED]> a écrit : Ou formulé autrement : si j'installe avec un cd version sarge, et que je compile avec un noyau 2.6.21, est-il nécessaire que je reinstalle avec la version etch ? Je suppose que ce qui importe, c'est que le noyau soit à jour, mais que ce

Re: Delai IDLE trop grand conntrack

On Tue, 15 May 2007 20:22:25 +0200 Pascal Hambourg <[EMAIL PROTECTED]> wrote: > Son rôle, ainsi que celui de l'état TIME_WAIT, est expliqué là en > français (forcer le charset Latin-1 ou 9 pour un affichage correct) : > Sans devoir forcer,

Programmation ALSA

slt a tous : cela fait une semaine que je me casse la tete sur la programmation d'alsa en mode CAPTURE. touts me paré correctement configuré comme le montre la copy d'un snd_pcm_dump() Hardware PCM card 0 'HDA Intel' device 2 subdevice 0 Its setup is: stream : CAPTURE access :

Re: Protection contre un DDOS tcp open

Jean Baptiste Favre a écrit : Le fond du problème est donc bien de détecter qu'une connexion TCP légitime au sens TCP du terme ne l'est plus au niveau applicatif car aucune requête HTTP n'est envoyée dans un délai à définir (AMHA inférieur à 5 secondes en étant généreux). Oui, et qui est mieux

Re: Protection contre un DDOS tcp open

On Wed, May 16, 2007 at 12:03:33AM +0200, François Boisson wrote: > Le Tue, 15 May 2007 23:28:46 +0200 > > Ces connexions peuvent se faire à l'aveugle non (i.e sans avoir la réponse, on > envoit un paquet «SYN» et on se moque du «ACK» qui revient. Il y a donc de > grande chances que l'IP d'origine

Re: Protection contre un DDOS tcp open

On Tue, May 15, 2007 at 11:19:16PM +0200, Stephane Bortzmeyer wrote: > On Tue, May 15, 2007 at 08:13:39PM +0200, > Benjamin RIOU <[EMAIL PROTECTED]> wrote > a message of 24 lines which said: > > > Oui, mais tu peux peut être empecher plus de X connexions TCP > > simultanées pour chaque IP (voir

Re: Protection contre un DDOS tcp open

> Ces connexions peuvent se faire à l'aveugle non (i.e sans avoir la réponse, > on envoit un paquet «SYN» et on se moque du «ACK» qui revient. Il y a donc de > grande chances que l'IP d'origine soit fausse. > Je viens de voir que le ACK est renvoyé par le client à chaque fois (tu as donc SYN-- >

Re: Protection contre un DDOS tcp open

Le Tue, 15 May 2007 23:28:46 +0200 Jean Baptiste Favre <[EMAIL PROTECTED]> a écrit: > Connlimit: j'y ai pensé aussi mais il y a rarement plus de 2-3 > connexions simultanées depuis la même IP. En fait, le problème est > qu'Apache attend sagement le timeout (et je ne peux pas le baisser, Ces conne

Re: Protection contre un DDOS tcp open

On Tue, May 15, 2007 at 11:29:09PM +0200, Pascal Hambourg wrote: > Stephane Bortzmeyer a écrit : > > > >> syncookies seriously violate TCP protocol, > > > >C'est très discuté. > > > >> do not allow to use TCP extensions, > > > >C'est exact. Qui utilise ces options ? Qui les a déjà vues

Re: Protection contre un DDOS tcp open

On Tue, May 15, 2007 at 11:15:52PM +0200, Stephane Bortzmeyer wrote: > On Tue, May 15, 2007 at 11:11:25PM +0200, > Pascal Hambourg <[EMAIL PROTECTED]> wrote > a message of 26 lines which said: > > > Si je ne m'abuse, les SYN cookies ne protègent que contre les > > connexions "half-open" (pas de

Re: Protection contre un DDOS tcp open

On Tue, May 15, 2007 at 10:40:17PM +0200, Stephane Bortzmeyer wrote: > On Tue, May 15, 2007 at 06:47:53PM +0200, > Jean-Baptiste FAVRE <[EMAIL PROTECTED]> wrote > a message of 13 lines which said: > > > Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière. > > Les SYN cookies, sans hésiter. > >

Re: Protection contre un DDOS tcp open

Re, J'avais oublié le filtrage de couche 7: Vu qu'aucune requête HTTP ne parvient au serveur, je risque d'avoir un peu de mal :-) Le fond du problème est donc bien de détecter qu'une connexion TCP légitime au sens TCP du terme ne l'est plus au niveau applicatif car aucune requête HTTP n'est envoyé

Re: Protection contre un DDOS tcp open

Les SYN-Cookies sont déjà activés, sans problèmes (effets de bord) jusqu'à présent. Merci quand même, JB Stephane Bortzmeyer a écrit : > On Tue, May 15, 2007 at 11:11:25PM +0200, > Pascal Hambourg <[EMAIL PROTECTED]> wrote > a message of 26 lines which said: > >> Si je ne m'abuse, les SYN coo

Re: Protection contre un DDOS tcp open

Stephane Bortzmeyer a écrit : syncookies seriously violate TCP protocol, C'est très discuté. do not allow to use TCP extensions, C'est exact. Qui utilise ces options ? Qui les a déjà vues dans un paquet réel ? L'option MSS ? Tout le monde, non ? -- Lisez la FAQ de la lis

Re: Protection contre un DDOS tcp open

Je fais une réponse un peu groupée: Netfilter Recent: pourquoi pas mais il faudrait alors que je marque les connexions ouvertes et que je guette le paquet suivant dans une fenêtre de temps définie. Reste qu'Apache prendra quand même la connexion (puisqu'ouverte), et la fenêtre de temps pourrait bi

Re: Delai IDLE trop grand conntrack

Benjamin RIOU a écrit : L'état TIME_WAIT indique que la connexion s'est terminée récemment. La connexion vers l'exterieur est elle fermée ou bien encore ouverte, finalement ? Fermée, mais encore présente dans la table de suivi pendant un certains temps. Parce que si elle a été fermée par

Re: Protection contre un DDOS tcp open

On Tue, May 15, 2007 at 08:13:39PM +0200, Benjamin RIOU <[EMAIL PROTECTED]> wrote a message of 24 lines which said: > Oui, mais tu peux peut être empecher plus de X connexions TCP > simultanées pour chaque IP (voir le module recent d'iptables). connlimit Voir par exemple http://www.gecko26.co

Re: Protection contre un DDOS tcp open

On Tue, May 15, 2007 at 11:11:25PM +0200, Pascal Hambourg <[EMAIL PROTECTED]> wrote a message of 26 lines which said: > Si je ne m'abuse, les SYN cookies ne protègent que contre les > connexions "half-open" (pas de ACK en réponse au SYN-ACK). Hmmm, oui, en relisant le message originel, en effe

Re: Protection contre un DDOS tcp open

Salut, Stephane Bortzmeyer a écrit : Jean-Baptiste FAVRE <[EMAIL PROTECTED]> wrote : Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière. Les SYN cookies, sans hésiter. Si je ne m'abuse, les SYN cookies ne protègent que contre les connexions "half-open" (pas de ACK en réponse au SYN-ACK).

Re: Protection contre un DDOS tcp open

On Tue, May 15, 2007 at 06:47:53PM +0200, Jean-Baptiste FAVRE <[EMAIL PROTECTED]> wrote a message of 13 lines which said: > Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière. Les SYN cookies, sans hésiter. "syncookies=yes" dans /etc/network/options et redémarrage (ou bien sysctl à la main).

RE : Re: Compiler le noyau à partir de la sarge

--- fred <[EMAIL PROTECTED]> a écrit : > ben durand <[EMAIL PROTECTED]> a écrit : > > > bonjour, > > > > Quelle est la différence entre une installation à > > partir d'une sarge et en compilant un kernel > 2.6.21 > > et > > une installation à partir d'une etch et en > compilant > > un kernel 2

partenariat,et coopération.

hello, us it is it (Youth Of the Ivory Coast for Supports with the American Actions) J.I. S.A. A: réconnue by the ministry for the interior of the Ivory Coast by the number: 1972 and the town hall of yopougon, by the number: 3083 the human cause, is our reason of living. (to live for the dif

Re: Delai IDLE trop grand conntrack

Je m'en doutais. L'état TIME_WAIT indique que la connexion s'est terminée récemment. Il permet d'accepter pendant un délai de grâce (2 minutes par défaut) d'éventuels segments retardataires arrivés en désordre après la séquence FIN avant effacement de la connexion de la table de suivi. La connex

Compiler le noyau à partir de la sarge

bonjour, Quelle est la différence entre une installation à partir d'une sarge et en compilant un kernel 2.6.21 et une installation à partir d'une etch et en compilant un kernel 2.6.21 ? merci Ben _ Ne gardez p

Re: [HS] Proteger un tar.gz

Le Tue, 15 May 2007 20:29:35 +0200 Yves Rutschle <[EMAIL PROTECTED]> a écrit: > On parlait de zip/rar/... : pas de clefs, uniquement un mot > de passe. Une attaque brute sur un mot de passe, c'est > faisable sans problème majeur. Quand même, avec un mot de passe de longueur 8 ayant majuscules chi

Re: [HS] Proteger un tar.gz

On Tue, May 15, 2007 at 12:03:42PM +0200, Le poulpe qui bloppe ! wrote: > >> La présence du mot de passe de change rien. Une attaque par force brute > >> peut donner un bon résultat très rapidement. > > > >ca depend de la taille des clefs et de la valeur des données en absolu, > >et surtout de leur

Re: Delai IDLE trop grand conntrack

Benjamin RIOU a écrit : > > Je peux pas avoir plus de 700 connexions ouvertes vers l'exterieur > Et donc, malgré que j'aie 150 connexions established, j'avais > facilement 750 connexions dans conntrack, ce qui bloquait toute > demande de nouvel accès exterieur... :-) Dans quel état, les 600 aut

Re: Protection contre un DDOS tcp open

Le 15/05/07, Jean-Baptiste FAVRE<[EMAIL PROTECTED]> a écrit : Salut, En fait, déjà envisagé mais, j'aurais dû le préciser dans mon premier mail désolé, une dizaine de milliers d'IP (heureusement pas simultanées) provenant d'une 30aine de pays différents... Un peu dur à gérer :-) Merci quand m

[Etch] problème de configuration de HAL

Bonjour, Je désire ajouter des droits aux périphériques montés par pmount. Mon but serait de les attribuer au groupe disk (gid=6), de rajouter les droits d'écriture au groupe, ce qui permettrait à tous ceux qui sont dans le groupe disk de pouvoir écrire sur la clé usb ou le disque externe. J'ai don

console-data à relancer à chaque boot

Bonjour, j'arrive pas à trouver pourquoi je suis obligé à relancer dpkg-reconfigure console-data pour avoir le bon clavier. Si quelqun pourrait me mettre sur la piste. cordialement mess-mate -- English literature's performing flea. -- Sean O'Casey on

Re: Protection contre un DDOS tcp open

Salut, En fait, déjà envisagé mais, j'aurais dû le préciser dans mon premier mail désolé, une dizaine de milliers d'IP (heureusement pas simultanées) provenant d'une 30aine de pays différents... Un peu dur à gérer :-) Merci quand même JB > Message du 15/05/07 18:52 > De : "Benjamin RIOU" <[EMA

Protection contre un DDOS tcp open

Bonsoir à tous, De petits rigolos s'amusent à ouvrir des connections TCP sur mon serveur web sans envoyer de requêtes. Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière. Le problème et que j'ai une appli un peu lourde qui nécessite un timeout d'apache à 25 minimum. J'ai beau chercher, je ne tro

Re: Installation offline

Le Tuesday 08 May 2007 16:30:54 Sébastien Adam, vous avez écrit : > Bonjour à tous, > > Dans le service où je travaille, nous avons installé un PC avec Debian > avec un programme bien spécifique (le nom du programme n'a pas > vraiment d'importance ici). Nous avons fait l'installation du PC avec > l

Re: udev et modules...

Pascal Hambourg, mardi 15 mai 2007, 00:52:10 CEST > > Salut, ’lut, > Sylvain Sauvage a écrit : > > > > Je pense que Fred imaginait que udev, en plus de créer les dev, > > chargeait les modules au branchement d'un périphérique. Ce n'est > > pas le cas : > > Il semble que si, cf.

felicitation

A VOTRE ATTENTION " ALLIANCE FINANCE " structure d'épargne et de crédit dont le siège est à Abidjan Côte d'Ivoire avec ses partenaires Sud Africains ,Marocains et Canadien vient de lancer une tombola nommee BILL GATES LOTERIE dans le cadre d'une semaine promotionnelle initié par notre assoc

Re: attribution d'adresse à imprimante ré sau

Bernard MAYER a écrit : >> Bernard MAYER a écrit : >>> Bonjour a tous, >>> Je ne passe pas par mon modem-routeur (wifi) quand j'utilise arp. J'ai simplement connecté mon PC à l'imprimante via un cable RJ45. >>> Est-ce bien un cable croisé, et non un cable droit, normal ? >>> >>> >>> >> J'

Re: attribution d'adresse à imprimante résau

> Bernard MAYER a écrit : >> Bonjour a tous, >> >>> Je ne passe pas par mon modem-routeur (wifi) quand j'utilise arp. J'ai >>> simplement connecté mon PC à l'imprimante via un cable RJ45. >> >> Est-ce bien un cable croisé, et non un cable droit, normal ? >> >> >> > J'ai branché l'imprimante sur un

Re: netinstall et module rt73

En ce Fri, 04 May 2007 23:47:58 +0200, le sermon de Guillaume Dualé <[EMAIL PROTECTED]> contenait: > Salut, > tu peux monter par exemple l'iso de la netinstall: > #mount -o loop debian-netinstall.iso /mnt > > Tu copies l'initrd.gz: > # cp /mnt/initall.386/initrd.gz /tmp > > Et tu listes les m

Re: attribution d'adresse à imprimante ré sau

jerry Vat a écrit : J'ai branché l'imprimante sur un autre PC sous W$, et tenté l'installation avec les drivers W$. Le cable RJ45 est vu comme débranché. Donc ça va certainement concerner le SAV Brother. Je ne vois pas d'autre solution. Non, non il faut bien un câble croisé pour un raccorde

Re: Pb avec resolv.conf

Pierre a écrit : > Jean-Yves F. Barbier a écrit : ... >> Pierre a écrit : > Merci pour ton aide. > Les fichiers contenant "resolv.conf" sont les suivants : > -rwxr-xr-x 1 root root 13K 2006-08-24 06:44 mailagent.postinst > -rw-r--r-- 1 root root 5,5K 2007-04-19 16:09 manpages-fr.li

Re: attribution d'adresse à imprimante ré sau

jerry Vat a écrit : J'ai branché l'imprimante sur un autre PC sous W$, et tenté l'installation avec les drivers W$. Le cable RJ45 est vu comme débranché. Donc ça va certainement concerner le SAV Brother. Je ne vois pas d'autre solution. Non, non il faut bien un câble croisé pour un raccordem

Re: attribution d'adresse à imprimante résau

Le Tue, 15 May 2007 13:25:34 +0200 jerry Vat <[EMAIL PROTECTED]> a écrit: > J'ai branché l'imprimante sur un autre PC sous W$, et tenté l'installation > avec les drivers W$. Le cable RJ45 est vu comme débranché. Donc ça va > certainement concerner le SAV Brother. Je ne vois pas d'autre solution.

Re: attribution d'adresse à imprimante ré sau

Bernard MAYER a écrit : > Bonjour a tous, > >> Je ne passe pas par mon modem-routeur (wifi) quand j'utilise arp. J'ai >> simplement connecté mon PC à l'imprimante via un cable RJ45. > > Est-ce bien un cable croisé, et non un cable droit, normal ? > > > J'ai branché l'imprimante sur un autre PC

Re: Pb avec resolv.conf

Jean-Yves F. Barbier a écrit : Pierre a écrit : Jean-Yves F. Barbier a écrit : Pierre a écrit : Bonjour à tous, Suite à la migration vers Etch je constate l'évolution suivante : Le fichier /etc/resolv.conf est un lien sur /etc/resolvconf/ru

Re: attribution d'adresse à imprimante résau

Le Tue, 15 May 2007 12:50:23 +0200 "Jean-Yves F. Barbier" <[EMAIL PROTECTED]> a écrit: > Ben si: il a relié les 2 en direct apparemment. Je me suis mal exprimé: Si il y a des pbms, c'est que le cable ne doit pas être croisé, il faut donc soit utiliser un cable croisé, soit un switch (le routeur f

Re: attribution d'adresse à imprimante ré sau

François Boisson a écrit : > Le Mon, 14 May 2007 22:57:06 +0200 > jerry Vat <[EMAIL PROTECTED]> a écrit: > >> Je ne passe pas par mon modem-routeur (wifi) quand j'utilise arp. J'ai >> simplement connecté mon PC à l'imprimante via un cable RJ45. > > Le cable ne doit pas être croisé. Théoriquement

Re: Pb avec resolv.conf

Pierre a écrit : > Jean-Yves F. Barbier a écrit : >> Pierre a écrit : >> >>> Bonjour à tous, >>> >>> Suite à la migration vers Etch je constate l'évolution suivante : >>> Le fichier /etc/resolv.conf est un lien sur >>> /etc/resolvconf/run/resolv.conf - qui n'existe pas... >>> En fait /etc/resolv

Re: Mise à jour de sécurité non accessible

Didier Raboud wrote: > Julien Valroff wrote: > >> Bonjour, >> >> En voulant mettre à jour mes machines suite à la publication de DSA >> 1289-1, je me rends compte que 2 machines n'ont pas accès aux mises à >> jour : >> apt-cache policy linux-image-2.6.18-4-vserver-k7 >> linux-image-2.6.18-4-vser

Re: [HS] Proteger un tar.gz

Le 14/05/07, mouss <[EMAIL PROTECTED]> a écrit : David Soulayrol wrote: > > > La présence du mot de passe de change rien. Une attaque par force brute > peut donner un bon résultat très rapidement. > ca depend de la taille des clefs et de la valeur des données en absolu, et surtout de leur valeu

Re: attribution d'adresse à imprimante résau

Le Mon, 14 May 2007 22:57:06 +0200 jerry Vat <[EMAIL PROTECTED]> a écrit: > Je ne passe pas par mon modem-routeur (wifi) quand j'utilise arp. J'ai > simplement connecté mon PC à l'imprimante via un cable RJ45. Le cable ne doit pas être croisé. Théoriquement le routeur relaie les requêtes arp...