« Protection Surveillance VPS » : différence entre les versions

<p>Protection contre les attaques DDoS/SYN flood.</p>

Ce document explique comment '''surveiller les connexions TCP incomplètes (SYN-RECV)''' et '''protéger votre VPS contre les tentatives de saturation TCP (SYN flood)''' avec nftables.

== 1️⃣ Surveiller les SYN-RECV ==

=== a) Voir toutes les connexions SYN-RECV ===

* Affiche toutes les '''tentatives de connexion TCP''' qui n’ont pas encore été complétées (SYN reçu, ACK non encore reçu).

* Utile pour détecter des '''SYN flood ou scans rapides''' sur vos ports exposés (SSH, HTTPS, etc.).

<syntaxhighlight lang="bash" copy>ss -tan state syn-recv | awk '{split($3,a,":"); print a[length(a)]}' | sort | uniq -c | sort -nr</syntaxhighlight>

* Affiche '''le nombre de SYN-RECV par port local'''.

* Permet de '''repérer les ports les plus sollicités''' ou ciblés par des scans.

* Exemple de sortie :

* Ici, le port 443 (HTTPS) reçoit le plus de SYN, suivi du port 22 (SSH).

-----

=== Règle SYN limit ===

* '''Limite les nouvelles connexions TCP (SYN) à 10 par seconde''', avec un '''burst autorisé de 20 SYN'''.

* Protège contre les '''SYN flood''' et les scans rapides.

* Les nouvelles connexions au-delà de cette limite seront temporairement rejetées.

* Cette règle peut être '''appliquée par port''' si vous voulez protéger uniquement SSH ou un service critique.

-----

# '''Créer un fichier de configuration nftables'''

<ol start="2" style="list-style-type: decimal;">

<li>'''Ajouter votre table, chaîne et règle''' :</li></ol>

|

|}

-----

* Les ports critiques comme SSH ou HTTPS restent accessibles aux utilisateurs légitimes

* Il est facile de '''surveiller le trafic TCP et détecter les anomalies'''.

[[Catégorie: Debian]]