Bonsoir,
Je viens de découvrir un blog sur l'alliance de Iptables et de tarpit, disponible ici :
Tarpit & Iptables.
D’après ce que j'ai compris ce logiciel permettrait de ralentir certaines attaques (après les avoir détecte avec Iptables) jusqu’à parfois même les bloquer totalement.
Le problème est que je ne comprend pas ceux qu'il dit au chapitre :"Tarpit : du goudron et des plumes" lorsqu'il parle de taille normale à la window tcp ou de window resizing.
Parle t-il d'un genre de cache de connexion tcp que chaque ordinateur garde pour pouvoir garder une communication active avec un serveur web ? La taille correspond à quoi alors ?
Je vous écrit directement le chapitre concernée :
" La règle TARPIT, et il existe d’autres moyens de faire cela évidemment, permet d’informer nos gentils PC zombies qu’ils sont priés d’attendre qu’on les recontacte avant de nous envoyer le prochain paquet réseau. Les machines Windows, comme la plupart des OS récents du reste, respecte le « window resizing ».
Quand on règle la fenêtre (window) de communication à une taille de zéro, la machine distante reste dans un état d’attente, jusqu’à ce que l’on remette une taille normale à la window TCP.
Mais que se passe t’il si l’on ne remet jamais la fenêtre à une taille normale ? Eh bien la machine reste en attente… Et c’est là que la solution se situe. La connexion se bloquera jusqu’à ce que l’OS fasse le ménage dans ses connexions inertes !
Ca peut prendre du temps… pas mal de temps en fait, quand bien même notre machine distante s’acharnerait en refaisant une connexion, à chaque nouvelle tentative, elle bloquera un peu plus sa propre « stack tcp », son propre système de gestion du réseau… Ca va prendre un peu de temps mais ca va bien ralentir l’attaque, d’autant plus que la plupart des machines ne réessayeront pas puisque la connexion n’est pas morte, elle est juste « en pause »."
Merci !
