[Tutoriel]Protéger votre site

Et oui Michel, l'antiddos fiable a 100% n'est pas né et ne naîtra JAMAIS

 

Et c'est TRES chiant, ces c**** qui s'amusent j'aimerais bien pouvoir leur cramer leur PC (oui )

 

c'est ce que je me tue a dire !

 

Mon pauvre... Tu te fais pas respecter xD

 

Bonjour,
(Juste pour info je bosse chez un petit hébergeur web et mail qui à environ 4000 clients)
Un anti ddos oui ça n'existe pas mais (par ce oui y'as un "mais") il existe des protection plus ou moins fiable (les plus chère frôlent les 99 % de protection en plein ddos) mais elle coutent les 2 bras et les 2 jambes (et encore l'en faudrait un jeu de plus de chaque).
Cette protection repose sur le principe de mitigation (on dilue le trafic grosso modo) mais demande d'avoir de très gros trafics et de très gros tuyaux (plusieurs dizaine de GB/s) ce que OVH, Iliad ou autre grands datacenters on. Protection que vous n'aurez jamais pour plusieurs serveurs Minecraft (encore moins 1) faudrait en avoir des millier pour que ça soit rentable/raisonnable. (et à ce stade la la réflexion serai plutôt ou je construit mon propre datacenter ?!)

En ce qui concerne CrawProtect suffit de lire la présentation du site web, il protège contre :
-des tentatives d'injection de code
-des tentatives d'injection SQL
-des visites de robot connus comme étant des "Badbots" (robot utilisés par les hackers)
-des aspirateurs de site
-des tentatives d'éxécution de commande shell
Mais pas des ddos ! (un logiciel à installer sur un site ne pourra jamais faire ça puisque la "dispersion" (mieux qu'on puisse faire) de ce type d'attaque ne peut se faire qu'en amont du site ! -> Mitigation )
Source: Merci de vous Connecter/S'inscrire pour voir les liens.

 

!!! et pourquoi donc ! Autant appeler un chat un chat, effectivement les attaques par injection sont plus complexes à comprendre (quoique une fois expliqué en détails un ddos et toute ses variante ça se vaut).
De plus entre une attaque par injection qui touche directement le site et un ddos qui le rend indisponible c'est quand même pas la même chose du tout !
Mais justement en sécurité un des point les plus important c'est de détenir les informations cruciales pour se protéger (et comment se protéger de ce que l'on ne connais pas ?) Pas facile en tout cas mais dans le cadre d'un CMS une des bonne pratique (et on le répétera jamais assez) faites les mises à jour ! (et ensuite on pourra commencer à s’intéresser à sécuriser un site).
C'est un gros boulot je le reconnais mais quand on veut se lancer dans l'hébergement/auto-hébergement faut tout de même sécuriser un minimum le serveur (s'pas un étier pour rien tien !).

Je ferai bien un tuto mais faute de temps voici 2/3 truc qui sont intéressant à mettre en place (qui sit un jour ou j'aurai beaucoup de temps libre):
-open_basedir pour bloquer toute attaque à l'intérieur du site web (évite de contaminer un autre site web sur une même machine en piégeant apache dans le répertoire du site web)
-mail.force_extra_parameters modifie le domaine de tout les mails envoyé par php par la valeur spécifié (attention à bien mettre un nom de domaine valide dont vous êtes autorisé à vous servir pour envoyer du mail)
-Clamwin (avec un tache planifié) pour scanner régulièrement le site à l'antivirus (serveur GNU/Linux bien sur)

 

En gros ddos est un mot qui regroupe différente attaque possible ?

 

Un Distribued Denial Of Service (attaque par déni de service distribué en français) est le fait de surcharger un service (quelconque, web, mail,stream, p2p, etc ...) pour rendre le service indisponible de quiconque.
Le premier D du sigle DDOS n'est pas toujours présent car un attaquant peut très bien lancer un DOS depuis une même machine à condition qu'elle ai une capacité de traitement supérieur à la cible (sinon le déni de service n'est pas possible, la cible subit une monté de charge rien de plus), le fait que le DOS soit distribué -> DDOS permet de lancer des attaque de plus grand envergure avec la plupart du temps des machines zombies (infecté par une backdoor ou un virus relai permettant au pirate d'utiliser les machines en question à des fin malicieuse).
Donc le principe d'un DOS/DDOS est de rendre totalement (ou partiellement dans certain cas particulier du à la sécurisation contre les DOS/DDOS et les optimisations de performances) indisponible un service (quelqu'il soit web ou non) pour toute la durée de l'attaque (le service redevien disponible dès que l'attaque cesse).

Voila une définition presque exacte (j'ai du simplifier pour ne pas perdre trop de monde au fils de l'explication).

 

nn se que je veux dire pas ddos, on a plusieurs moyen de mettre hors service le site ?

 

Le moyen c'est les requêtes que tu envoie au serveur, genre juste affiche moi la page d’accueil comme tu le ferai en allant sur le site sauf que si tu envoie des milliard de requêtes en même temps le serveur va tenté de répondre mais comme techniquement il est limité (ba oui il peut pas répondre à un nombre infinis de requêtes) il va arriver à saturation, il sera en déni de service et ne pourra plus répondre à d'autre requêtes que celle envoyé par l’attaquant ! (le but de l'attaque par DOS/DDOS)
C'est d'ailleur pour ça qu'il n'est pas iliégal de posséder des outils de DOS/DDOS si tu à un serveur car il te permettent aussi de déterminer le nombre de visiteurs maximal que ton serveur peut encaisser. (100 % des choses on un usage à but bienfaisant et un autre à but malfaisant, c'est l'utilisateur/la situation qui détermine l'usage qui en est fait)

Pour rendre inaccessible un site, il faut briser le cheminement du navigateur web au serveur web (entre le client et le serveur si on prend un modèle générique). Le DDOS s’attaque directement au serveur web car c'est le plus efficace, d'autre type d'attaque existe pour limiter voir supprimer l'accès à un service sur Internet.
Ces méthodes sont toutes bien plus compliqué à expliqué que le DOS/DDOS, et toutes illégales sauf dans le cadre de test fait par le propriétaire du service/de l'infrastructure visés. Ceci-justifiant la raison pour laquelle je n'évoquerai pas ces méthodes qui ne serai pas utile à une personne qui demanderai de l'aide ici), puisqu'une personne amené légitimement à utiliser un tel outils aurai soit les connaissance nécessaire soit demanderai dans un forums plus approprié notamment de sécurité informatique.

 

Explication nette clair et précis franchement , rien à dire . Donc on revient à mon précédent poste : ça ne protège pas contre le DDOS

 

C'est effectivement un GROS GROS probleme.

 

C'est pas 10 000€? é_è.
PAR CONTRE le ddos est autorise que si tu veux test la puissance de ta machine

Illuminati confirmed ∆