hilpers


  hilpers > comp.* > comp.securite

 #1  
08/08/2004, 02h33
Pierre VG
salut
depuis hier je subis des attaques ddos (j'ai installé kaspersky anti-
hacker, avant j'avais zone alarm 4.5 free). que dois-je faire (si il y a
quelque chose à faire) et comment éviter ces attaques ?
merci

 #2  
08/08/2004, 15h35
Michel Arboi
On Sun Aug 08 2004 at 01:33, Pierre VG wrote:

> depuis hier je subis des attaques ddos


On pourrait avoir quelques détails sur ces "DDoS" ?

> (j'ai installé kaspersky anti-hacker, avant j'avais zone alarm 4.5
> free)


C'est le failleurouôl perso qui détecte un DDoS ??
DDoS = distributed denial of service. Vous avez des ennemis teigneux.

> que dois-je faire (si il y a quelque chose à faire)


Allez vous promener, il fait beau.

> et comment éviter ces attaques ?


En débranchant l'ordinateur.
 #3  
08/08/2004, 17h13
Pierre VG
Michel Arboi a joyeusement tapoté (news:m3llgpubaz.fsf)
dans fr.comp.securite:

> On pourrait avoir quelques détails sur ces "DDoS" ?


le rapport de kah est des plus significatif, jugez plutôt :
06/08/2004 23:38:08 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
06/08/2004 23:53:06 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
07/08/2004 00:36:27 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
07/08/2004 16:18:09 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
07/08/2004 20:43:45 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
07/08/2004 20:46:14 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
07/08/2004 20:49:27 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
07/08/2004 20:52:34 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
07/08/2004 20:55:34 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
07/08/2004 20:58:31 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
07/08/2004 21:11:06 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
07/08/2004 21:37:39 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
07/08/2004 21:40:34 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 07:21:46 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 07:24:44 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 07:28:18 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 07:31:21 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 07:34:14 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 07:39:27 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 07:42:12 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 07:44:54 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 07:47:40 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 07:54:55 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 11:40:24 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 11:43:17 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 11:46:11 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 11:55:04 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 11:57:53 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 12:06:12 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 12:15:43 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
08/08/2004 12:38:06 Votre ordinateur a été attaqué. Attaque - DDoS
(refus de service). Attaque refoulée.
vous voilà fort bien renseigné, non ?

> C'est le failleurouôl perso qui détecte un DDoS ??
> DDoS = distributed denial of service. Vous avez des ennemis teigneux.


c'est en effet kah qui m'en informe.
notez que je suis derrière un routeur dlink di-604. est-ce que ces
attaques pourraient provenir du lan ?

> Allez vous promener, il fait beau.


avec le vent qu'il fait, vous déconnez ?

> En débranchant l'ordinateur.


pendant combien de temps ?
 #4  
08/08/2004, 19h40
Eric Razny
"Pierre VG" <kostic+spam> a écrit dans le message de
news:norg
> Michel Arboi a joyeusement tapoté (news:m3llgpubaz.fsf)
> dans fr.comp.securite:
> > On pourrait avoir quelques détails sur ces "DDoS" ?

> le rapport de kah est des plus significatif, jugez plutôt :
> 06/08/2004 23:38:08 Votre ordinateur a été attaqué. Attaque - DDoS
> (refus de service). Attaque refoulée.


[ fois x avec des intervalles plus ou moins longs]

Il y a une différence entre une tentative de DOS et de DDOS.
J'ai peur d'une erreur de traduction du soft essentiellement...

> vous voilà fort bien renseigné, non ? Ben non : port "attaqués", @ IP & co...


> > C'est le failleurouôl perso qui détecte un DDoS ??
> > DDoS = distributed denial of service. Vous avez des ennemis teigneux.

> c'est en effet kah qui m'en informe.


Je vais jetter un oeil sur le site Kaspersky... quand j'aurais un peu de
temps voir ce que ça donne :)

> notez que je suis derrière un routeur dlink di-604. est-ce que ces
> attaques pourraient provenir du lan ?


Je dirais même qu'à part une configuration avec les pieds du routeur (et
encore, il faudrait le faire exprès, par exemple mettre votre PC en
"DMZ"[1]) il y a toute les chances que ce soit le cas.
Avez vous vérifié la présence de trojans sur d'autre machines du LAN?

> > Allez vous promener, il fait beau.

> avec le vent qu'il fait, vous déconnez ?


Mais non, ça fait du bien au soleil!

> > En débranchant l'ordinateur.

> pendant combien de temps ?


Une bonne année devrait suffire :)
Et puis pas de service => pas de DOS, distribué ou pas!

Eric

[1] Si si, des produits commerciaux (est-ce le cas ici) appellent DMZ ce qui
n'en n'est pas une, ou alors on ne m'a pas informé que maintenant DMZ et LAN
d'entreprise, par exemple, sont sur le même segment... :-(
Après va expliquer à un client qu'il y a des problèmes dans l'architecture
même de son réseau...
 #5  
08/08/2004, 21h51
Pierre VG
Eric Razny a joyeusement tapoté (news:2nmvovF2g4urU1)
dans fr.comp.securite:

> Il y a une différence entre une tentative de DOS et de DDOS.
> J'ai peur d'une erreur de traduction du soft essentiellement...


ah ?
et les différences sont ?
merci

> Ben non : port "attaqués", @ IP & co...


vu l'absence de renseignements du log de kah, c'était ironique...

> Je dirais même qu'à part une configuration avec les pieds du routeur
> (et encore, il faudrait le faire exprès, par exemple mettre votre PC
> en "DMZ"[1]) il y a toute les chances que ce soit le cas.
> Avez vous vérifié la présence de trojans sur d'autre machines du
> LAN?


l'autre pc est clean, kav en résident, passé spybot 1.3, adaware et même
un scan en ligne de pestpatrol... que faire de plus ?
pas de pc en dmz, le dlink ne faisant que dhcp et reconnexion au net.

> Mais non, ça fait du bien au soleil!


quel soleil ? ici il pleut, avec du vent et de très jolis nuages gris.

> Une bonne année devrait suffire :)
> Et puis pas de service => pas de DOS, distribué ou pas!


à noter que je ne sais toujours pas ce qu'est un dos ou un ddos...
à noter également que emule tournicote, est-ce que ça peut venir de là ?
merci
 #6  
09/08/2004, 00h14
Fabien LE LEZ
On 08 Aug 2004 18:51:42 GMT, Pierre VG <kostic+spam>:

>> Il y a une différence entre une tentative de DOS et de DDOS.
>> J'ai peur d'une erreur de traduction du soft essentiellement...

>ah ?
>et les différences sont ?


DoS : Denial of Service
DDoS : Distributed Denial of Service.
En gros, un DDoS, c'est quand un grand nombre de machines t'attaquent.
La méthode est simple mais un tantinet délicate à mettre en place :
typiquement, tu crées un virus, tu t'arranges pour qu'il se propage,
et une fois qu'il s'est bien propagé, le virus te permet de prendre le
contrôle de milliers de machines. Bien évidemment, ça demande de la
préparation, et un peu de temps. Il faut donc une certaine
préméditation.

Il y a vraisemblablement eu pas mal de cas de DDoS, mais le cas le
plus connu est peut-être l'attaque des root servers (les serveurs de
noms principaux), qui a bloqué pendant plusieurs heures une bonne
partie de ces 13 serveurs.

Note que si ton firewall enregistre les logs, et que tu es victime
d'un DDoS, ce que tu dois craindre le plus est une surcharge du
système justement à cause de cette sauvegarde sur disque dur.
 #7  
09/08/2004, 10h34
Pierre VG
Fabien LE LEZ a joyeusement tapoté
(news:ve5dh0lutnnhjd5ebmks9ic1grh66b9rv2) dans fr.comp.securite:

> Note que si ton firewall enregistre les logs, et que tu es victime
> d'un DDoS, ce que tu dois craindre le plus est une surcharge du
> système justement à cause de cette sauvegarde sur disque dur.


sauvegarde de quoi ???
je veux pas te vexer, mais je ne comprends rien à tout ça !!!
 #8  
09/08/2004, 12h40
Ronald
Le Mon, 09 Aug 2004 07:34:27 +0000, Pierre VG a écrit :

> Fabien LE LEZ a joyeusement tapoté
> (news:ve5dh0lutnnhjd5ebmks9ic1grh66b9rv2) dans fr.comp.securite:
>> Note que si ton firewall enregistre les logs, et que tu es victime d'un
>> DDoS, ce que tu dois craindre le plus est une surcharge du système
>> justement à cause de cette sauvegarde sur disque dur.

> sauvegarde de quoi ???
> je veux pas te vexer, mais je ne comprends rien à tout ça !!!


Tes logs sont dans un fichier, sur le disque.
Chaque ligne qui y est écrite nécessite un accés au disque, si en plus
tu as un très grand nombre de lignes qui y sont écrite, ce même fichier
pourrait atteindre une taille considérable, là seule limite étant
l'espace disponible.
Comme tu as emule qui tourne sur ta machine ça ne serait pas étonnant
que ton DDos ne soit que des tentatives de téléchargement.
 #9  
09/08/2004, 15h40
Pierre VG
Ronald a joyeusement tapoté
(news:pan.2004.08.09.08.35.01.688696) dans fr.comp.securite:

> Chaque ligne qui y est écrite nécessite un accés au disque, si en
> plus tu as un très grand nombre de lignes qui y sont écrite, ce même
> fichier pourrait atteindre une taille considérable, là seule limite
> étant l'espace disponible.


aucun soucis de ce côté-là, kah permet de brider la taille des
fichiers .log.

> Comme tu as emule qui tourne sur ta machine ça ne serait pas
> étonnant que ton DDos ne soit que des tentatives de téléchargement.


bon, j'ai viré kah et remis za free (5.1.011) : marre d'être
déconnecté à tout bout de champ pendant 60 minutes (possibilité de
mettre moins, genre 1 minute, mais ce n'est pas non plus une
solution). faut croire que kah est trop fin ? trop parano ?
merci à tous.
bonne semaine.
 #10  
13/08/2004, 10h15
vuu-g6c
Ben Michel, t'es revenu de vacances ou quoi que t'es aussi en forme?
:-)

DDOS peut signifier que quelqu'un se donne une vertu a essayer
d'acceder a un service sans en avoir le droit dans le but (non) avoue
de faire tomber en panne ton serveur. Ce peut etre un probleme dans
ton application IDS mal configuree et rapportant cette fausse alarme
:-)

Je connais des gens qui ce sont fait interviewes a la Police pour
moins que cela.

/nicolas
 #11  
13/08/2004, 11h20
Christophe Casalegno
vuu-g6c wrote:

> DDOS peut signifier que quelqu'un se donne une vertu a essayer
> d'acceder a un service sans en avoir le droit dans le but (non) avoue
> de faire tomber en panne ton serveur.


Non, dans ce cas il s'agit d'une attaque de type DOS (Dénial Of Service)

Le DDOS a la particularité d'être "distribué", à travers par exemple
quelques dizaines de milliers de zombis.

Un (antique) winnuke est un dos, alors que 10.000 machines qui te répondent
(alors que tu ne leur a rien demandé) est un DDOS.

amicalement,

Discussions similaires
A l'attaque ! Suivez-moi mes braves ! ( Les préludes à l'attaque : la phase diplomatique)

DDos

coordination sur ddos

DDoS : que faire ?


Fuseau horaire GMT +2. Il est actuellement 01h05. | Privacy Policy