hilpers


  hilpers > comp.* > comp.securite

 #1  
22/05/2004, 12h55
alex mendy
bonjour,

nous subissons depuis 3 semaines un DDoS (60 Mbps avec des pointes à 80
Mpbs),
le site web est sur un serveur dédié linux 2.4.20 (tcp_syncookies=1) et
serveur web apache
les ip sources viennent du monde entier donc probablement forgées.

un premier hebergeur a déclaré forfait et nous a "viré".
un deuxième est sur le point de déclaré aussi forfait et a mis le service
web en indisponibilé, son réseau étant mis en danger par cette attaque.

le BEFTI a été contacté.

que pouvons nous faire pour que le service soit à nouveau accessible ?
où trouver une doc explicite proposant des solutions au pb ?

merci d'avance

Alex Mendy

 #2  
22/05/2004, 15h20
Manu
alex mendy wrote:
> que pouvons nous faire pour que le service soit à nouveau accessible ?


Passer par Akamaï par exemple mais ça ne doit pas être donné.

> où trouver une doc explicite proposant des solutions au pb ?


Vu que c'est au niveau de la bande passante que se situe le problème, je
ne vois pas trop quoi faire. Xname.org avait eu un problème similaire
récemment, et je crois qu'ils n'ont rien pu faire, même s'ils semblaient
avoir trouvé d'où venait les attaques. Mais je ne sais pas comment ils
ont fait (s'ils l'ont trouvé de façon technique :) ).

Par curiosité, c'est quel type de site pour avoir une attaque de cette
ampleur ?
 #3  
22/05/2004, 17h48
alex mendy
merci pour la réponse,

> Par curiosité, c'est quel type de site pour avoir une attaque de cette
> ampleur ?


ça releve du contexte géopolitique actuel, mais je ne préfère pas en dire
davantage ... vous comprendrez

Alex Mendy
 #4  
22/05/2004, 22h21
db
alex mendy wrote:

> bonjour,
> nous subissons depuis 3 semaines un DDoS (60 Mbps avec des pointes à 80
> Mpbs),
> le site web est sur un serveur dédié linux 2.4.20 (tcp_syncookies=1) et
> serveur web apache
> les ip sources viennent du monde entier donc probablement forgées.

Vous n'êtes pas suffisamment précis.
Votre serveur est-il le seul à être ainsi plombé ou y a-t-il d'autres
serveurs physiques, sur le même plan d'adressage soumis à ce genre
d'attaque ?
> un premier hebergeur a déclaré forfait et nous a "viré".
> un deuxième est sur le point de déclaré aussi forfait et a mis le service
> web en indisponibilé, son réseau étant mis en danger par cette attaque.


> le BEFTI a été contacté. Au moins c'est fait. A eux de contacter le FBI si nécessaire ;-)


> que pouvons nous faire pour que le service soit à nouveau accessible ?

Relocaliser le ou les serveurs sur un autre plan d'adressage et mettre à
jour les DNS en conséquence. Si vous êtes hébergé dans un centre important
(Complétel, Verio, TeleHouse, Ovh [chez Telehouse du reste], LDCOM) cela ne
devrait pas poser de problème.
Demander à vos différents fournisseurs ou au NOC de votre centre
d'hébergement de filtrer TOUT ce qui vous concerne sauf le DNS le temps que
ça se calme.
[..]
 #5  
23/05/2004, 16h02
Christophe Garault
Dans le message <40aee6c4$0$26917$626a14ce>,
alex mendy écrivit...

> bonjour, Salut,


> nous subissons depuis 3 semaines un DDoS


Vous vous êtes peut-être fait slashdoté à l'insu de votre plein
gré...

> (60 Mbps avec des pointes à 80 > Mpbs),


Difficile de vous aider si vous n'en dites pas plus sur la nature
des packets: au moins proto, port, et flag. Est-ce que c'est un simple
SYN flood?

> le site web est sur un serveur dédié linux 2.4.20 (tcp_syncookies=1)


Doit-on comprendre qu'il n'y a pas de Firewall avant le serveur?
Sinon, pour activer les Syn cookies, il faut en outre avoir activé
CONFIG_PROC_FS (/proc dans file system support) et CONFIG_SYSCTL (dans
General setup) puis faire un

# echo 1 >/proc/sys/net/ipv4/tcp_syncookies

Pensez en outre à passer à la version 2.4.26 du noyau sinon c'est pas
un ddos qui vous attend...

> serveur web apache


Activé par xinetd? Si oui voir le superbe papier du jeune pappy:
[..]
Sinon, quelle version d'Apache? Avec ou sans SSL? Il y a eu des vers
par le passé (v<1.3.26 ou 2.0.39), et comme votre version du noyau aura
bientôt deux ans, il se pourrait que vous soyez infecté.

> les ip sources viennent du monde entier donc probablement forgées.

C'est ce que dit Bernstein, mais ça peut aussi être dû au
contexte géopolitique actuel...
 #6  
24/05/2004, 13h15
T0t0
"Manu" <nobody> wrote in message
news:40af3f46$0$19652$626a14ce
> Passer par Akamaï par exemple mais ça ne doit pas être donné.


Oui, du moins leur demander de faire des tests qui devraient être
gratuits, voir le résultat (qui ne pourra à mon avis que être bon,
c'est comme ca que Microsoft a absorbé la charge de blaster estimée
à 40Go/s)
Et selon les test, voir si le jeu en vaut la chandelle.

Perso, je ne connais aucun parade aux DDOS si ce n'est le cache
distribué à la Akamaï.
 #7  
25/05/2004, 00h15
Manu
T0t0 wrote:
> Perso, je ne connais aucun parade aux DDOS si ce n'est le cache
> distribué à la Akamaï.


Dans ce document, ils proposent entre autre l'attaque en envoyant des
commandes d'arrêt au logiciel installé sur les machines participants au
DDOS (voire d'utiliser une faille du même logiciel pour le faire
planter) :) :
[..]

Mais cela suppose que l'IP source ne soit pas spoofées.
Une autre méthode proposée est de toujours ignorer la première tentative
de connexion. Cela se base sur le fait que lors d'une connexion TCP
normale, le client réessayera. Mais cela ne résoud pas le problème de
bande passante.
D'autres idées interessantes sont proposées mais le texte semble daté de
2000...

Sinon en cherchant il m'a semblé voir des outils de détection de DDOS
capables de déterminer l'outils de DDOS utiliser.

En tout cas, il est possible de jouer avec le DNS pour voir la
réactivité du système de DDOS face à un changement d'adresse et
déterminer les IPs des sources du DDOS. Cela dit rien n'interdit de
noyer une requète DNS légitime parmi des requètes dont l'adresse source
serait spoofée et ensuite propager l'adresse IP à DDOSer à tout les
esclaves.
D'ailleurs existe-t-il un moyen d'empecher ce spoofing (en montant un
serveur DNS qui forcerait le client à utiliser TCP) ?

- Manu

PS: un autre document sympa mais en français:
[..]
 #8  
25/05/2004, 10h41
Nicob
On Sat, 22 May 2004 14:48:30 +0000, alex mendy wrote:

>> Par curiosité, c'est quel type de site pour avoir une attaque de cette
>> ampleur ?

> ça releve du contexte géopolitique actuel, mais je ne préfère pas en dire
> davantage ...


Je viens de voir dans Libération un article sur un site qui semble avoir
exactement les mêmes problèmes. Serait-ce de celui-là dont on parle ici ?

Nicob
 #9  
25/05/2004, 15h52
T0t0
"Manu" <nobody> wrote in message
news:40b241f3$0$13927$636a15ce
> [..]
> Mais cela suppose que l'IP source ne soit pas spoofées.
> Une autre méthode proposée est de toujours ignorer la première tentative
> de connexion. Cela se base sur le fait que lors d'une connexion TCP
> normale, le client réessayera. Mais cela ne résoud pas le problème de
> bande passante.


D'après le doc, ils proposent Akamaï ou Sandpiper (connais pô)
Je n'y vois pas d'autre alternative.

Discussions similaires
DDos

attaques Ddos

script DDOS

attaque ddos


Fuseau horaire GMT +2. Il est actuellement 01h02. | Privacy Policy