Treason uncloaked

Treason uncloaked

“dmesg” renvoie cela :

TCP: Treason uncloaked! Peer 190.8.7.158:63882/80 shrinks window 3030424420:3030424421. Repaired.
TCP: Treason uncloaked! Peer 84.254.160.206:51487/80 shrinks window 697918686:697918687. Repaired.
TCP: Treason uncloaked! Peer 88.185.62.24:52554/80 shrinks window 2725096538:2725105292. Repaired.
TCP: Treason uncloaked! Peer 88.185.62.24:23883/80 shrinks window 4083392573:4083401416. Repaired.
TCP: Treason uncloaked! Peer 200.12.206.170:53185/80 shrinks window 2800826084:2800826085. Repaired.

Google m’indique plusieurs liens vers des propos parfois contradictoires :
http://forum.kimsufi.com/archive/in…
http://www.mail-archive.com/plug-de…
http://www.linuxquestions.org/quest…

Autrement dit, c’est une attaque dont le but est de saturer la cpu du serveur : cela consiste à simuler une requête http ou autre et à empêcher que le serveur puisse répondre en avertissant que la taille de a fenêtre de réponse est 0 : “then setting their window size to 0 so your daemon sits there trying to send them the data over and over (for instance, they may start a connection and immediately set their window to 0, so you cannot send back the http or pop3 connection banner message)”.

Alors le serveur essaye malgré tout d’envoyer sa réponse, encore et encore et pendant ce temps là, il ne fait rien d’autre… c’est une attaque DoS (deny of service).

 Puis élaborer une parade

Dans le cas qui est arrivé à l’un de mes serveurs, le log est enregistré dans le fichier /var/log/kern.log.
Une méthode consiste donc à utiliser “fail2ban”.

On crée une nouvelle entrée dans jail.local :

# bannnir les paquets ip mal formées
# suite attaque "Treason uncloacked"

[dos-iptables]

enabled   = true
port      = anyport
filter    = dos-ip
logpath   = /var/log/kern.log

Puis créer une nouvelle règle pour filtrer le log. Autrement dit on crée un nouveau fichier dans /etc/fail2ban/local.d/dos-ip.conf et on écrit dedans la regex qui va bien :

failregex = kernel:* TCP: Treason uncloacked! Peer <HOST>

On relance fail2ban

sudo /etc/init.d/fail2ban restart

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

* Copy This Password *

* Type Or Paste Password Here *