Navigation

Toutes les catégories

Filtrer par auteur

Voir les derniers articles

Protéger son serveur linux des attaques SYN FLOOD

Le SYN flood est une attaque informatique visant à atteindre un déni de service. Elle s’applique dans le cadre du protocole TCP et consiste à envoyer une succession de...

Non aux pirates

Non aux pirates

Le SYN flood est une attaque informatique visant à atteindre un déni de service. Elle s’applique dans le cadre du protocole TCP et consiste à envoyer une succession de requêtes SYN vers la cible.

Le principe :

Lors de l’initialisation d’une connexion TCP entre un client et un serveur, un échange de messages a lieu. Le principe est celui du three-way handshake, qui, dans le cas d’une connexion normale sans volonté de nuire, se déroule comme suit :

  1. le client demande une connexion en envoyant un message SYN (pour synchronize) au serveur
  2. le serveur répond et accepte en envoyant SYN-ACK (synchronize-acknowledgment) vers le client
  3. le client répond à son tour avec un message ACK (acknowledgment) ; la connexion est alors établie
Schéma d'une connexion normale entre un client (Alice) et le serveur

Schéma d'une connexion normale entre un client (Alice) et le serveur

Un client malveillant peut supprimer la dernière étape et ne pas répondre avec le ACK. Le serveur attend un certain temps car ce délai pourrait avoir été causé par la latence du réseau. Cette période d’attente par le serveur était d’environ 75 secondes lors des premières attaques SYN.

À ce stade, la connexion est semi-ouverte et consomme un certain nombre de ressources du côté du serveur (mémoire, temps processeur, etc.). En générant suffisamment de connexions de ce type, il est possible de monopoliser les ressources du serveur. Comme le nombre de connexions est la plupart du temps limité, le serveur n’accepte plus de nouveaux clients avec pour résultat un déni de service. Dans certains cas, le serveur peut même planter par manque de ressources.

Schéma du SYN flood. L'attaquant (Oscar) envoie une série de paquets mais laisse les connexions semi-ouvertes. La file d'attente du serveur se remplit et le nouveau client (Alice) ne peut plus se connecter

Schéma du SYN flood. L'attaquant (Oscar) envoie une série de paquets mais laisse les connexions semi-ouvertes. La file d'attente du serveur se remplit et le nouveau client (Alice) ne peut plus se connecter

Source : Wikipédia

Comment prévenir ce genre d’attaques :

Il suffit de paramétrer des valeurs en modifiant le fichier /etc/sysctl.conf :

# Protection SYN flood
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_max_syn_backlog = 102

Il faut ensuite recharger la configuration avec la commande suivante pour la session courante :

sysctl -p /etc/sysctl.conf

Cela permet qu’au redémarrage de la machine les changements de politique soient conservées.Votre serveur sera alors protégé contre ce genre d’attaques.

Newsletter WebActus

Abonnez-vous pour recevoir notre sélection des meilleurs articles directement dans votre boîte mail.

Nous ne partagerons pas votre adresse e-mail.

Articles similaires

Webmarketing

Imageric : un moteur de recherche pour trouver des photos/vidéos libres de droit

Vous travaillez sur un projet qui nécessite des photos ou des vidéos libres de droit ? Imageric est un nouveau moteur de recherche qui vous permettra de trouver...

Publié le par Ludwig Herve
Webmarketing

Dell Streak 7, PlayBook de RIM et LePad de Lenovo

Quasiment tous les constructeurs ont prévu de sortir leurs tablettes en 2011. Dotées d'un écran tactile, ces machines multifonctions peuvent servir à la fois d'ordinateur...

Publié le par Team WebActus