ADSL-BC

[M@GIC]

Bonjour a tous,

Hier soir un ami à été victime d'un petit asticot sur son dedié Windows hebergé chez Dedibox.

Par contre, il n'a jamais reussi a voir qui c'etait et surtout la maniere utilisée.

Pour ma part, sur le deuxieme Screen ci dessous, je remarque que la taille des paquets est bizarre.....

Avez vous une idée? Est ce le fameux "PingOfDeath"?

Image 1 : traffic de la ligne du dedié


Image 2 : Taille des paquets


A savoir que cette personne utilise un soft qui ouvre le port 6005 en TCP et UDP.

D'après les infos du net, un PingOfDeath attaque principalement l'UDP, est ce correct?

Merci de vos avis sur la question car là moi je sais pas l'aider plus que ca.

[UBoot]

Les "Ping of Death" sont basés sur ICMP, pas UDP. C'est bien d'UDP dont tu parles?
TCP et UDP sont aussi vulnérables, et je suppose qu'on parle quand même de Ping of Death dans ce cas.

L'attaque est basée sur des datagrams dont la taille est égale ou au-dessus de 65536 bytes (octets) après que les packets/segments fragmentés ont été réassemblés.

Tu prends la valeur de pointe du débit:
85044927.17 / 8 = 10630615.89625 bytes/s

Et pour avoir une estimation, tu divises par le nombre de datagrams (eux, ils parlent de packets dans le graph. J'espère q'en fait ce sont des datagrams) et ça devrait te donner une idée de la taille moyenne des datagams reconstruits.
Mais si ils parlent vraiment de packets, là, ben je ne sais pas aller plus loin parce que qu'on ne sait pas combien de packets formaient un datagram.

[M@GIC]

J'ai parlé du POD( PingOfDeath) simplement car sur sa becane il n'y a rien, pas de serveur mail, http, ftp, sql

Du coup je vois mal comment l'attaque a reussi sauf via cette fameuse faille.

Mais bon, j'en suis pas certain non plus

le prob c'est que je ne sais pas quoi lui proposer pour se proteger car c'est pas la premiere fois que ca lui arrive et hier j'ai bien tenté de me connecter sur son dedié mais vu la bande passante utilisée, j'ai deja dû attendre plus d'1/4h avant d'avoir la console.....

[UBoot]

PS: 'jai édité mon post initial, entretemps.

C'était quoi, l'effet: un freeze? Un reboot?

C'est quand même lourd, ce traffic... Un ping of death ne nécessite pas autant de traffic, mais juste quelques packets qui amènent un datagram trop grand. Pas besoin de tout ça.

C'est quand même plus de 80 Mb/s. Ce ne serait pas un déni de service en saturant la bande passante dispo sur ton serveur?
Combien d'IPs étaient à la source de tout ce traffic?

[satanas]

Le seul moyen est de désactiver l'ICMP dans le firewall de la machine,
Elle ne sera plus 'pingable', mais ce genre d'attaque échouera.

En fait un ping est normalement très petit ( en taille ) mais un POD consiste à envoyer de très longs packets et vu que le ping retourne ces données, on arrive très rapidement à saturation de la BP,

Normalement un bon Firewall ( soit sur la machine, soit sur le réseau ) devrait détecter ce genre d'attaques et banir soit le service ICMP si beaucoup d'IP sont à l'origine de l'attaque , sinon banir l'adresse IP d'origine.

Ici le but est de saturer le réseau de ta machine afin qu'elle soit indisponible.

[UBoot]

Et un ping of death vise à crasher our rebooter uen machine, pas à saturer la connection.
Pas besoin de 80 Mb/s pour ça.

Ici, ça me semble être plutôt un DoD classique qui vise à consommer toute la bande passante dispo.

[UBoot]

Le seul moyen est de désactiver l'ICMP dans le firewall de la machine,
Elle ne sera plus 'pingable', mais ce genre d'attaque échouera.

Si tu bloques ICMP complètement, ça pourrait causer des problèmes dans certains cas. A toi de vérifier, suivant ton cas, si tu pourrais avoir besoin de certains services ICMP.
Et TCP/UDP sont vulnérables aussi. Mieux vaut se trourner vers un patch correctif du problème, en plus de filtrer les communications au strict nécessaire.

Si l'attaque est basée sur base de saturation de la bande passante, le seul moyen de s'en protéger, c'est un bloquage des IPs sources de l'attaque en amont du serveur. Si tu as un firewall "software" sur le serveur lui-même, ça ne sert à rient contre les DoD qui saturent la bande passante, par exemple.
Pour saturer la bande passante, tu peux utiliser UDP ou TCP aussi, pas seulement ICMP.

[philfr]

Si l'attaque est basée sur base de saturation de la bande passante, le seul moyen de s'en protéger, c'est un bloquage des IPs sources de l'attaque en amont du serveur. Si tu as un firewall "software" sur le serveur lui-même, ça ne sert à rient contre les DoD qui saturent la bande passante, par exemple.
Pour saturer la bande passante, tu peux utiliser UDP ou TCP aussi, pas seulement ICMP.

+1

Contre un denial of service (DOS, pas DOD ), il n'y a pas grand chose à faire...
Mais une attaque de cette ampleur n'est pas faite par un petit rigolo depuis chez lui derrière un ADSL. Il s'agit en général de machines locales à l'hébergeur qui sont "actives".

[UBoot]

+1

Contre un denial of service (DOS, pas DOD ), il n'y a pas grand chose à faire...

LOL, je me suis planté parce qeu justement, j'ai dû utiliser l'abréviation DoD ce matin (Department of Defense aux USA) ))

Sorry, bien vu!
Je t'enverrai un message privé, philfr, mais plus tard car je dois quitter pour le moment.

[M@GIC]

il y a quand meme bien une solution non?

Concernant les questions sur les IP, il etait impossible de le voir vu que le serveur avait franchement du mal a repondre.

Juridiquement il devrait y avoir un recours, là je viens de demander a l'hosting du dedié d'avoir le log pendant la periode de l'attaque, on verra le retour.

[UBoot]

Légalement, ça tourne vite au cauchemard.

Une attaque DoS de ce type implique typiquement des PCs d'un peu partout dans le monde. Dont des pays qui ont un vide juridique en matière de criminalité informatique.
Tu imagines déjà toutes les coopérations dont tu auras besoin pour aboutir à quelque chose.
La technologie a avancé beaucoup plus vite que la loi, ici.

En plus, si tu attrapes les PCs auteurs de l'attaque, tu attrapes typiquement des propriétaires de PCs qui n'étaient même pas conscients que leur PC était impliqué dans un truc de ce genre. Ces PCs sont en fait habituellement des PCs infectés par un programme malicieu qui les mets secrètement sous contrôle du véritable auteur de l'attaque, et tu n'auras pas de logs pour l'attraper, celui-là.

[M@GIC]

d'après les logs, enfin le peu que je dispose, il n'y a qu'une adresse qui etait dessus, a savoir un serveur de chez OVH.......

Allez comprendre, moi je suis largué complet

[UBoot]

Les employés d'OVH sont les mieux placés pour expliquer, alors.
C'est déjà ça: ils ne sont pas loin et parlent la même langue

On n'a pas de raison de se sentir largué, c'est juste qu'on n'a pas beaucoup d'info et on n'a plus que des suppositions.
Ca pourrait même être dû à une erreur humaine, après tout.

Je suis curieux de savoir ce que c'était. Si tu l'apprends, tu peux poster ici?

[M@GIC]

Non non du tout

J'explique la raison, enfin du moins ce que j'ai entendu.

Cette communauté dont fait partie mon ami utilise le programme "camfrog" Chacun a sa room ( comme sur IRC) et de temps a autres il y a de la jalousie.

Du coup, certains ne trouvent rien de mieux que de faire planter les serveurs si ceux-ci ne sont pas bien recu sur la room, ou si leurs politiques ne correspond pas a celle de la communauté.

C'est pas la premiere fois, loin de là car pratiquement tout le monde a déjà subit ce genre d'attaque et de plus la personne ne s'en cache pas.

OVH lui repond, sans une plainte on ne fait rien.....
Plainte oui.....bonne chance, on est en Belgique et eux en France, je te laisse penser a la suite.....

Certains FR ont déjà portés plainte aussi mais on ne vois pas de suite car la personne agit toujours et ce en se foutant completement des règles et lois.

En bref, zorro est de retour

[ovh]

iptables a un module pour limiter le nombre de connexions, mais je ne sais pas si c'est efficace dans un cas comme celui-ci
Sur mon dédié j'ai des lignes comme ça pour le ping, mais je ne sais pas si ça marche pour les autres proto, pas essayé :

Code : Tout sélectionner

iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -m limit --limit 4/s -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp --icmp-type echo-reply -m limit --limit 4/s -j ACCEPT

EDIT : désolé, pas vu que c'était un serveur windows
Oublie ce que je viens de dire

[UBoot]

mais je ne sais pas si c'est efficace dans un cas comme celui-ci

Si ils ont les moyens de saturer ta bande passante rien qu'en t'envoyant des datagrams, tu as beau configurer ton serveur pour dire qu'il n'y réponde pas, ta ligne est quand même saturée.

Sur Internet, c'est bof: tu n'as du contrôle que sur tes propres systèmes, alors effectivement, on se retrouve vite démuni techniquement face à un DoS de ce genre.

Ca me fâcherait sur OVH, si ça m'arrivait.
Je m'attends quand même à ce que des fournisseurs de serveurs adhèrent à un code d'éthique qui protège Internet. Ca me semble normal, au minimum, de couper le service d'un client qui "pourrit" Internet intentionellement (si il y a des preuves suffisantes, et dans ce cas, c'est le cas, si j'ai bien compris), sans obliger à devoir passer par des plaintes et poursuites.

[ovh]

Si ils ont les moyens de saturer ta bande passante rien qu'en t'envoyant des datagrams, tu as beau configurer ton serveur pour dire qu'il n'y réponde pas, ta ligne est quand même saturée.

Sur Internet, c'est bof: tu n'as du contrôle que sur tes propres systèmes, alors effectivement, on se retrouve vite démuni techniquement face à un DoS de ce genre.

Ca me fâcherait sur OVH, si ça m'arrivait.
Je m'attends quand même à ce que des fournisseurs de serveurs adhèrent à un code d'éthique qui protège Internet. Ca me semble normal, au minimum, de couper le service d'un client qui "pourrit" Internet intentionellement (si il y a des preuves suffisantes, et dans ce cas, c'est le cas, si j'ai bien compris), sans obliger à devoir passer par des plaintes et poursuites.

En fait il me semble que c'est parfois le cas mais malheureusement il y a eu des exemples de procès où le spammeur attaquait parce qu'il réclamait la liberté de pouvoir exercer son activité pourrie et il a eu gain de cause... Ou des gens qui ont des machines verolées, on les coupe par sécurité, mais ils te foutent un procès pour interruption de service sur un site commercial et gnagnagna Bref légalement parlant c'est pas gagné malheureusement

[M@GIC]

Bon, j'ai trouvé le serveur

Par contre ce qui est tresssssssss joli, c'est le nom de domaine dessus....

Je vous laisse lire le Whois

http://www.raynette.fr/services/whois/i ... ogserv.com

[philfr]

Et que dit ovh ?

[M@GIC]

beep beep beep...... tu connais Belgacom non? Ovh tente de les depasser.....

RAF ( Rien A foutre ) , voila en bref la réponse OVH