hilpers


  hilpers > comp.* > comp.securite

 #1  
09/02/2017, 09h05
JKB
Bonjour à tous,

Tout est dans le titre. Suis-je le seul à constater une telle
attaque (en provenance depuis trois jours des USA) ? J'ai plusieurs
IP (totalement différentes), plusieurs /28 en IPv4 et toutes les
adresses se prennent des attaques (en aveugle parce que certaines
adresses sont inutilisées). 6Go de traffic entrant par jour depuis
le début de la semaine. D'après le fournisseur, rien d'anormal chez
eux...

Cordialement,

JKB

 #2  
09/02/2017, 10h25
Gilbert VAISSIERE
Le 09/02/2017 à 09:05, JKB a écrit :
> Bonjour à tous,
> Tout est dans le titre. Suis-je le seul à constater une telle
> attaque (en provenance depuis trois jours des USA) ? J'ai plusieurs
> IP (totalement différentes), plusieurs /28 en IPv4 et toutes les
> adresses se prennent des attaques (en aveugle parce que certaines
> adresses sont inutilisées). 6Go de traffic entrant par jour depuis
> le début de la semaine. D'après le fournisseur, rien d'anormal chez
> eux...
> Cordialement,
> JKB Bonjour,


Sur quel protocole/port est ce trafic entrant ?
Avez-vous regardé les stats d'activité, par exemple :
[..]

Rien vu de semblable sur les derniers jours, mais je vais re-contrôler
les stats.

Cdlt.
G.V.
 #3  
09/02/2017, 10h42
Gilbert VAISSIERE
Le 09/02/2017 à 10:25, Gilbert VAISSIERE a écrit :
> Le 09/02/2017 à 09:05, JKB a écrit :
> Bonjour,
> Sur quel protocole/port est ce trafic entrant ?
> Avez-vous regardé les stats d'activité, par exemple :
> [..]
> Rien vu de semblable sur les derniers jours, mais je vais re-contrôler
> les stats.
> Cdlt.
> G.V.


Je confirme, pour ce qui me concerne, aucune anomalie sur les derniers
jours, ni dans le trafic entrant, ni dans les journaux.

Cdlt.
G.V.
 #4  
09/02/2017, 15h24
JKB
Le Thu, 9 Feb 2017 10:25:50 +0100,
Gilbert VAISSIERE <gilbert.vaissiere> écrivait :
> Le 09/02/2017 à 09:05, JKB a écrit :
> Bonjour,
> Sur quel protocole/port est ce trafic entrant ?


Tentative de trafic entrant sur UDP/111. Actuellement l'IP source
est 108.85.149.101.

> Avez-vous regardé les stats d'activité, par exemple :
> [..]
> Rien vu de semblable sur les derniers jours, mais je vais re-contrôler
> les stats.


Je regarde surtout mes statistiques propres statistiques... 1000
paquets par seconde sur chaque IP publique à l'heure où j'écris ces
lignes.

Cordialement,

JKB
 #5  
09/02/2017, 22h48
Gilbert VAISSIERE
Le 09/02/2017 à 15:24, JKB a écrit :
> Le Thu, 9 Feb 2017 10:25:50 +0100,
> Gilbert VAISSIERE <gilbert.vaissiere> écrivait :
> Tentative de trafic entrant sur UDP/111. Actuellement l'IP source
> est 108.85.149.101.
> paquets par seconde sur chaque IP publique à l'heure où j'écris ces
> lignes.
> Cordialement,
> JKB


Rien vu de semblable sur le mois dernier : à peine une centaine de
paquets tentant d'entrer sur UDP/111, soit, en moyenne, moins de 3 par jour.

On est très loin (pour l'instant) de ce que vous subissez.
Il s'agit de 2 plages d'adresses en /29 sur lesquelles on n'a pas
d'accès entrants publics (ni relais de mail, ni serveurs web ou autres
publics).
FAI sur ces accès : SFR et ORANGE.
Donc pour du DDOS, il faudrait qu'ils visent juste pour nous toucher,
ou, au contraire qu'ils ratissent très large.

Bon courage pour en venir à bout. Peut-être votre FAI peut faire quelque
chose en amont, même s'il affirme qu'il n'y a rien d'anormal ?

Cdlt.
G.V.
 #6  
09/02/2017, 23h22
JKB
Le Thu, 9 Feb 2017 22:48:29 +0100,
Gilbert VAISSIERE <gilbert.vaissiere> écrivait :
> Le 09/02/2017 à 15:24, JKB a écrit :
> Rien vu de semblable sur le mois dernier : à peine une centaine de
> paquets tentant d'entrer sur UDP/111, soit, en moyenne, moins de 3 par jour.
> On est très loin (pour l'instant) de ce que vous subissez.


J'ai cru que cela s'était tassé en début de soirée, ça reprend de
plus belle. 1000 à 2000 paquets par IP et par seconde. Mon lien de
backup (/32 + /29) qui n'est qu'en ADSL2+ est saturé à 50% par ce
trafic. Côté VDSL2, c'est mieux, comme il y a plus de débit et moins
d'IP, ça ne gêne pas outre mesure. J'ai actuellement quatre IP qui
attaquent en même temps sur toutes mes IP publiques.

> Il s'agit de 2 plages d'adresses en /29 sur lesquelles on n'a pas
> d'accès entrants publics (ni relais de mail, ni serveurs web ou autres
> publics).
> FAI sur ces accès : SFR et ORANGE.
> Donc pour du DDOS, il faudrait qu'ils visent juste pour nous toucher,
> ou, au contraire qu'ils ratissent très large.


J'ai peine à croire que je les intéresse particulièrement ;-)

> Bon courage pour en venir à bout. Peut-être votre FAI peut faire quelque
> chose en amont, même s'il affirme qu'il n'y a rien d'anormal ?


Le FAI, c'est Nerim. Et le moins qu'on puisse dire, c'est que depuis
que les fondateurs sont partis, le service technique est aux abonnés
absents. La seule chose qu'il m'a été proposé, c'est de filtrer en
amont les adresse IP. Sauf qu'elles tournent. J'ai essayé de leur
proposer une solution, mais je crois que c'est peine perdu, le
'technicien' que j'ai eu ne savait même pas ce qu'était une telle
attaque...

Je crois que je vais devoir attendre que ça passe tout seul.
Finalement, le réseau un formatique, c'est un peu comme la
politique. Il n'y a pas un problème qu'une absence de solution ne
parviendrait à résoudre...

Cordialement,

JKB
 #7  
10/02/2017, 09h20
Gilbert VAISSIERE
Le 09/02/2017 à 23:22, JKB a écrit :
[..]
> Je crois que je vais devoir attendre que ça passe tout seul.
> Finalement, le réseau un formatique, c'est un peu comme la
> politique. Il n'y a pas un problème qu'une absence de solution ne
> parviendrait à résoudre...
> Cordialement,
> JKB


Bonjour,

Une hypothèse, à confirmer : le retour d'une attaque par amplification
et spoofing.

Attaque par amplification et spoofing

Les acteurs :
- le Commanditaire
- les Attaquants
- les Intermédiaires
- les Victimes

C a le contrôle des A (plus rarement il mène ses attaques directement
depuis un ou des équipements lui appartenant)
L'intérêt pour lui est de multiplier le trafic généré et de se cacher
derrière les adresses des A, même si, comme on le verra plus loin, ces
adresses ne sont pas directement visibles par les I ou les V

A envoie des paquets vers I en spoofant l'IP source avec une IP de V
Ces paquets ont pour caractéristique que, si I répond, la taille de la
réponse est amplifiée par rapport à la taille du paquet reçu
C'est le cas, par exemple, pour les requêtes sur 111/UDP
A renvoie la réponse vers V

I croit que l'attaque vient de V et peut penser qu'il est la cible de
l'attaque
V croit que l'attaque vient de I

Bien sûr, cela ne fonctionne, au sens de C, que pour les I qui répondent
aux requêtes
C choisit donc entre deux stratégies :
- cibler au préalable les I répondant aux paquets d'attaque
- inonder le plus possible de I à l'aveugle

Il y a eu une attaque de ce type en été 2015, justement sur 111/UDP

Peut-être que ça revient.

ISC indiquait hier soir une augmentation des "sources" sur les deux
derniers jours, mais on est très loin d'un phénomène d'ampleur
internationale.
Ces "sources" étant, selon l'explication ci-dessus, plutôt les victimes.

L'absence de réponse à votre message d'origine ne signifie pas que vous
êtes le seul dans votre cas. C'est actuellement les congés scolaires et
certains administrateurs sont peut-être sur les pistes de ski ou au soleil.

Parmi les points à vérifier, si vous utilisez un pare-feu, routeur
filtrant, ... :
- éviter de répondre aux pings; même si ça ne protège que contre les
automates qui ne poursuivent pas en cas d'absence de réponse au ping,
c'est toujours ça de moins
- bloquer, sans répondre (ICMP type 3), tous les flux entrants non
souhaités; je n'imagine pas que vous autorisiez 111/UDP
Si vos équipements frontaux sont gérés par votre FAI, vous pouvez
toujours lui demander de le faire.

Bonne chance pour la suite.
G.V.
 #8  
11/02/2017, 12h46
Gilbert VAISSIERE
Le 09/02/2017 à 23:22, JKB a écrit :
[..]
> Je crois que je vais devoir attendre que ça passe tout seul.
> Finalement, le réseau un formatique, c'est un peu comme la
> politique. Il n'y a pas un problème qu'une absence de solution ne
> parviendrait à résoudre...
> Cordialement,
> JKB


Bonjour,

Pas de nouvelle ==> bonne nouvelle ???
Le problème a-t-il disparu comme il est venu ?

Je m'aperçois que j'ai fait une erreur dans ma réponse précédente : la
réponse à l'attaque est renvoyée par l'Intermédiaire vers la Victime et
pas directement par l'Attaquant.
Pour le choix de "C", le Commanditaire, j'avais pensé au départ à "C"
comme Cerveau; ce serait lui faire trop d'honneur.

Pour ma part, pas de signe d'une telle attaque ces derniers jours.

-----

Version revue et corrigée :

Attaque par amplification et spoofing

Les acteurs :
- le Commanditaire
- les Attaquants
- les Intermédiaires
- les Victimes

C a le contrôle des A (plus rarement il mène ses attaques directement
depuis un ou des équipements lui appartenant)
L'intérêt pour lui est de multiplier le trafic généré et de se cacher
derrière les adresses des A, même si, comme on le verra plus loin, ces
adresses ne sont pas directement visibles par les I ou les V

A envoie des paquets vers I en spoofant l'IP source avec une IP de V
Ces paquets ont pour caractéristique que, si I répond, la taille de la
réponse est amplifiée par rapport à la taille du paquet reçu
C'est le cas, par exemple, pour les requêtes sur 111/UDP
I renvoie la réponse vers V

I croit que l'attaque vient de V et peut penser qu'il est la cible de
l'attaque
V croit que l'attaque vient de I

Bien sûr, cela ne fonctionne, au sens de C, que pour les I qui répondent
aux requêtes
C choisit donc entre deux stratégies :
- cibler au préalable les I répondant aux paquets d'attaque
- inonder le plus possible de I à l'aveugle

Cdlt.
G.V.
 #9  
12/02/2017, 23h44
JKB
Le Sat, 11 Feb 2017 12:46:04 +0100,
Gilbert VAISSIERE <gilbert.vaissiere> écrivait :
> Le 09/02/2017 à 23:22, JKB a écrit :
> Bonjour,


Bonsoir,

> Pas de nouvelle ==> bonne nouvelle ???
> Le problème a-t-il disparu comme il est venu ?


Non, il dure toujours. J'étais simplement allé vaquer à d'autres
occupations.

> Je m'aperçois que j'ai fait une erreur dans ma réponse précédente : la
> réponse à l'attaque est renvoyée par l'Intermédiaire vers la Victime et
> pas directement par l'Attaquant.
> Pour le choix de "C", le Commanditaire, j'avais pensé au départ à "C"
> comme Cerveau; ce serait lui faire trop d'honneur.
> Pour ma part, pas de signe d'une telle attaque ces derniers jours.


Heureux homme :-P

JKB
[..]
 #10  
16/02/2017, 19h50
JKB
Tiens, maintenant, ça attaque sur le ssh et sur http... Vivement que
ça s'arrête.

JKB

Discussions similaires
DDos

script DDOS

attaque ddos

DDoS : que faire ?


Fuseau horaire GMT +2. Il est actuellement 20h37. | Privacy Policy