Je viens vers vous pour avoir un peu d'aide. Sur mon serveur, (debian 8.0) je dispose d'iptables et de fail2ban. J'ai fais un serveur Soldier of fortune 2 et je souhaite savoir si il est possible de protéger les ports 20100 et 20200 contre le "ddos".
Je dois pouvoir créer un jail avec les règles qui conviennent pour Soldier of fortune 2, mais je sais pas comment faire.
Je vois que ça se passe dans le fichier /etc/fail2ban/filter.d mais comment en créer un spécialement pour Soldier of fortune 2? en gros un regex...
Mon VPS est visiblement la cible d'attaques DDoS. Je vous ai joint un extrait du log des connexions réseau enregistrés au moment de l'alerte du monitoring :
Dans un premier temps, je vais te demander d'anonymiser tes données. La présence d'adresses IP dans ton message n'est pas conseillée...
Ensuite, il serait plus judicieux d'enregistrer pendant un court moment le trafic lors d'une attaque avec un logiciel comme Wireshark (disponible en cli pour les serveurs) pour traiter l'information (le fichier ne doit pas être partagé publiquement dans la mesure du possible pour éviter de fournir des données non anonymes).
En gros, deux méthodes sont à suivre pour deux cas différents :
Si l'attaque provient d'une unique adresse IP, il suffit de configurer un outils pour détecter et traiter l'attaque (cf. ton moteur de recherche favori)
Si l'attaque provient de plusieurs adresses IP, il faut mettre en place des outils beaucoup plus conséquents (cf. ton moteur de recherche favori).
Enfin, tu peux définir des règles spécifiques grâce au fichier .pcap de Wireshark en analysant le trafic légitime.
Je loue un VPS-4 - avec protection anti-DDoS: Minimal Shield chez pulseheberg, il y a un monitoring et quand une attaque survient le service est éteint par mesure de sécurité afin d'éviter que ce comportement anormal puisse avoir une incidence sur les données du service ou sur le reste de l'infrastructure.
Le système de monitoring a remonté le comportement suivant : Trop de connexions simultanée (conntrack) Ce dernier n'ayant pas été suspendu, il m'invite à prendre les mesures nécessaires puis à re-démarrer le service via le panel de gestion.
j'ai installer et configurer No More DDOS et j'ai suivi ce tuto
J'ai aussi configuré UFW il était installé mais pas activé, iptables et fail2ban également.
je voulais même interdire certain pays de ce connecter au serveur, après une recherche sur Google de l'adresse IP ça viendrait du pays Swede, j'ai bannis l'adresse IP avec iptables.
ça n’arrêtent toujours pas ces connexions simultanée, j'ai l'impression que le monitoring bloc les attaques avant le pare-feu installé sur le serveur, et sur les logs il n'y a rien d'anormal.
le log que j'ai mis dans le premier post est un extrait du log des connexions réseau enregistrés au moment de l'alerte du monitoring.
Je suis à cours d'idée, je me demande même si on peut stopper ce genre d'attaque.
Attaques DDoS
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.