Suite à des derniers attaques nous avons reçu sur
l'hébergement mutualisé, nous avons ajouté une
protection qui permet de se proteger contre cette
attaque precise.
L'attaque consiste à ouvrir beaucoup de connexion
simultanées (donc ce n'est pas du synflood) puis
la connexion ne fait rien et attend le timeout.
Nous avons été déjà protegé contre cette attaque
mais visiblement les gens en face ont trouvé le
moyen de by-pass(er) les protections actuels.
nous avons donc ajouté une limitation en terme
de nombre de connexion qu'une IP peut faire sur
l'hébergement mutualisé. Et nous l'avons fixé à
50 connexions simu à partir d'une IP. Puis nous
avons whitelisté quelques IP (google, etc).
Si une IP a atteint la limite de 50 connexions
simultanés, le firewall n'ouvert pas de nouvelles
connexions pendant 2 secondes. Au bout de 2 secondes
il reevalue la situation puis il prend à nouveau
une decision: soit c'est en dessus de 50 connexions
et il ouvert la connexion, soit c'est mis en standby
pour les 2 secondes encore.
class-list any
0.0.0.0 /0 lid 1
slb template policy ip_limit
class-list name any
class-list lid 1
conn-limit 150
over-limit-action lockout 2 log 1