DJ ZiO's Blog

Se protéger des DDoS avec TARPIT

Auteur : DJ ZiO

Ajouté : 2010-03-06 21:48:05

Il n'y a pas longtemps, j'ai découvert une nouvelle règle pour iptables.

Son nom est TARPIT.
Cette règle envoi un signal au pc qui nous attaque afin de lui dire de mettre sa connexion en attente d'un paquet venant de nous avant d'en renvoyer un autre.
Dans le cas d'un DDoS, il nous suffirait d'utiliser cette règle suivie de la règle DROP afin de contrer efficacement ce genres d'attaques.
En effet, si nous ne renvoyons pas de paquet au client, il attendra indéfiniment.

Mais que se passerait-il si le client nous renvoi d'autres requêtes?

Et bien c'est simple, les nouvelles requêtes seront elles aussi en attente au niveau du client et c'est sa propre connexion qui s'en verrait ralentie!

Efficace non?

Assez parlé, rentrons dans le vif du sujet!

Pour mettre en place cette règle, nous avons besoin de recompiler iptables dans notre kernel.

Pour Debian Lenny

On va donc commencer par récupérer les paquets xtables-addons-* qui contiennent toutes des règles en plus des règles de base d'iptables

aptitude install iptables-dev pkg-config debhelper module-assistant
wget http://ftp.de.debian.org/debian/pool/main/x/xtables-addons/xtables-addons-source_1.22-1_all.deb
wget http://ftp.de.debian.org/debian/pool/main/x/xtables-addons/xtables-addons-common_1.22-1_i386.deb
wget http://ftp.de.debian.org/debian/pool/main/i/iptables/iptables-dev_1.4.6-2_i386.deb
wget http://ftp.de.debian.org/debian/pool/main/i/iptables/iptables_1.4.6-2_i386.deb

On les installe

dpkg -i iptables_1.4.6-2_i386.deb
dpkg -i iptables-dev_1.4.6-2_i386.deb
dpkg -i xtables-addons-source_1.22-1_all.deb
dpkg -i xtables-addons-common_1.22-1_i386.deb

Pour Debian Squeeze

On installe les paquets suivants

aptitude install xtables-addons-common xtables-addons-source

Pour les 2

Et on installe le module dans le kernel

module-assistant auto-install xtables-addons-source

Et voilà!

On a normalement maintenant la possibilité d'utiliser la règle "TARPIT" tout comme les autres règles utilisées par habituellement dans iptables.
Exemple:

iptables -A INPUT -p tcp --dport 25 -j TARPIT

Il y a plein d'autres règles, utiles ou pas, installées en même temps que TARPIT, je vous conseille d'aller faire un tour dans la man de xtables-addons:

man xtables-addons

ZiO

PS: Pour Ubuntu Karmic, la méthode à utiliser est la même que pour Debian Lenny

Sources

http://www.wikigento.com/securite/tarpit-iptables-les-armes-fatales-anti-ddos/

http://packages.debian.org/squeeze/i386/xtables-addons-common/download