N-PN White-Hat Project
Attaque Amplification DNS - Version imprimable

+- N-PN White-Hat Project (https://dev.n-pn.fr/forum)
+-- Forum : Questions (https://dev.n-pn.fr/forum/forumdisplay.php?fid=11)
+--- Forum : Question diverses (https://dev.n-pn.fr/forum/forumdisplay.php?fid=30)
+--- Sujet : Attaque Amplification DNS (/showthread.php?tid=3110)



Attaque Amplification DNS - FraKtaL - 18-06-2013

Bonjour à tous,

Je me permets de vous demander une solution temporaire afin de contrer les attaques d'amplifications DNS ?

Pour ceux qui veulent savoir le késako d'une attaque d'amplication dns, http://www.bortzmeyer.org/amplification-dns-combien.html


RE: Attaque Amplification DNS - notfound - 18-06-2013

Salut Fraktal, ravi de te revoir ici.

Le terme est mal choisi, en fait il s'agit bien d'une attaque utilisant les DNS, mais pas d'amplification DNS. Le principe est d'envoyer une demande à un DNS avec l'@IP de la victime pour que ce dernier réponde à la demande. Il va donc envoyer de grosses trames à la victime, celle-ci découpée en plusieurs trames à cause du MTU de l'Ethernet http://fr.wikipedia.org/wiki/Maximum_Transmission_Unit#Exemple_de_valeur_de_la_MTU_selon_le_type_de_r.C3.A9seau

Ensuite, pour revenir à ta question il faudrait pouvoir stop lorsque le même DNS envoie des trames ayant le MTU maximum par exemple, ou bien trop de trames qui se suivent.

N'ayant jamais eu affaire à ce genre de cas, je ne sais pas si mon hypothèse est viable ...

Bon courage


RE: Attaque Amplification DNS - FraKtaL - 18-06-2013

Salut NotFound.

Le truc c'est que l'on se prend 1Gb/s de requete DNS sur un EDGE de 1Giga. Nous sommes clairement en saturation sur notre EDGE.

Et aujourd'hui, il faudrait que notre fournisseur IP fasse du null-route sur leur transit IP. (Chose qu'il ne font pas car ils sont DSP...) ou que je fasse la config sur notre routeur BGP (null-route / dé-null en rotation), mais je recherche une solution temporaire qui me permettrais d'aller dormir cette nuit =)


RE: Attaque Amplification DNS - FraKtaL - 18-06-2013

Yop yop.

J'ai trouver une solution temporaire (pas très propre mais bon), c'est juste le temps de faire une configuration BGP ou voir avec mon fournisseur IP.

J'ai fais un script avec une liaison CACTI, qui quand mon lien transit arrive à 90%, je bloque durant 20s les requête DNS via iptables en entrée.

A voir si mon téléphone vas arrêter de sonner cette nuit ou pas.

Bonne soirée


RE: Attaque Amplification DNS - notfound - 19-06-2013

Haha, grand fou va ! La je ne pourrais clairement pas t'aider, cela dépasse mes compétences.

En espérant que tu parviennes à régler ton problème !

A bientot Fraktal Wink


RE: Attaque Amplification DNS - Ekroz - 19-06-2013

Il y a généralement deux types de déni de service :

- les attaques "applicatives" qui vont cibler un service et exploiter ses faiblesses pour qu'il consomme beaucoup de ressources et sature
- les attaques par "remplissage de tuyau" (nb: quand il y a un grand nombre d'attaquant les attaques "applicatives" remplissent aussi pas mal le tuyau)

Autant pour les déni de service applicatifs tu peux y contrer avec une bonne configuration (firewall, plugins du service en question etc...), autant pour le remplissage de tuyau tu ne peux rien faire.
Si physiquement il y a 1 Gbps de données qui transitent dans ton câble de 1 Gbps t'auras beau installer le firewall le mieux configuré du monde, tant qu'il n'y aura pas filtrage en amont chez le provider, tu seras blackouted.
Mais je crois que la majorité des attaques (en dehors des entreprises pour le profit) sont dues à des affaires pas très nets et que la meilleure manière d'éviter des attaques est de rester modeste et de ne pas parler aux inconnus. Big Grin


RE: Attaque Amplification DNS - gruik - 19-06-2013

(19-06-2013, 09h18)Ekroz a écrit : Si physiquement il y a 1 Gbps de données qui transitent dans ton câble de 1 Gbps t'auras beau installer le firewall le mieux configuré du monde, tant qu'il n'y aura pas filtrage en amont chez le provider, tu seras blackouted.

yep +1
si la capacité de l'attaque dépasse celle de tes tuyaux y'a rien à faire à part subir malheureusement

Citation :la meilleure manière d'éviter des attaques est de rester modeste et de ne pas parler aux inconnus. Big Grin

une considération sécuritaire à prendre avec des pincettes, presque borderline et applicable sans cas de conscience uniquement vis à vis d'une entreprise, la valeur business n'a elle pas de frontière donc... la fin justifie les moyens
c'est le "vivons bien, vivons cachés" en somme, mais je cautionne très moyennement sur le principe (ok on s'en fout mais je voulais le dire :p)


RE: Attaque Amplification DNS - Ekroz - 19-06-2013

J'ai précisé que ce n'était pas le cas pour les entreprises, car le profit entre en compte. Smile
Mais par exemple, pourquoi certains petits sites se font attaquer régulièrement, et certains plus populaires ne le sont pas ?
Parce que certains évitent de se faire des ennemis et pas d'autre...
Après il y aura toujours un con pour essayer de faire chier le monde mais les attaques DDoS sont faites soit dans un but de chantage (pour les entreprises), soit dans un but revenchard/gueguerre.


RE: Attaque Amplification DNS - notfound - 19-06-2013

(19-06-2013, 10h38)Ekroz a écrit : Après il y aura toujours un con pour essayer de faire chier le monde mais les attaques DDoS sont faites soit dans un but de chantage (pour les entreprises), soit dans un but revenchard/gueguerre.

Ou par des SK pour une pseudo-cause dont ils ne comprennent même pas le pourquoi du comment. (cc An*nym*us FR)


RE: Attaque Amplification DNS - gruik - 19-06-2013

(19-06-2013, 10h38)Ekroz a écrit : pourquoi certains petits sites se font attaquer régulièrement, et certains plus populaires ne le sont pas ?
Parce que certains évitent de se faire des ennemis et pas d'autre...
Après il y aura toujours un con pour essayer de faire chier le monde mais les attaques DDoS sont faites soit dans un but de chantage (pour les entreprises), soit dans un but revenchard/gueguerre.

comme un fait exprès je suis tombé sur quelque chose d'étrangement similaire sur une mailing-list où le gars un peu au bord du rouleau explique la même problématique (aujourd'hui même donc) :

Citation :je pense que ce message sera peut être un prélude à la mort annoncé d'un opérateur / hébergeur local qui essaye de tirer son épingle du jeu et qui le paye très cher.

après c'est sûr que la notion de "se faire des ennemis" - sous-entendu "l'avoir bien cherché" - pour une entreprise est sans doute assez large Big Grin

--- edit: ---

la suite de la discussion par mail :
Citation :Généralement les DDOS n'arrivent pas sans raisons. Surtout sur autant d'adresses comme vous l'expliquez ! (ndgruik un /22 entier apparement, soit +1000 IP en gros)
Si ils sont la c'est que vous hébergez un site qui déplait à l'attaquant et/ou, vous êtes victime de "guéguerre" entre équipe de serveurs de jeux.
C'est courant chez eux ce genre de pratiques …
Peut être que depuis votre réseau un ou plusieurs serveurs DDOS un autre réseau à votre insu etc ...

de ce qu'il se dit la seule solution dans ce cas est de s'adresser au fournisseur de transit pour upgrade sur des tuyaux plus gros en urgence, tous ne le propose pas non plus à priori, une plaie quoi...


RE: Attaque Amplification DNS - FraKtaL - 19-06-2013

Bonsoir !

Nous avons trouvé la cause =). Il s'agissait d'un concurrent pas content, suite à un marché public remporté par notre société.

Après le travail technique, maintenant le travail judiciaire (Heureusement, ce n'est pas de mon ressort) ^^

Gruik, je suis inscrit sur FRNOG, j'ai essayer de prendre contact avec le directeur Technique de Firstheberg (personne qui est au bout du rouleau) afin d'essayer de trouver une solution en commun, mais ma requête a était sans réponse...


RE: Attaque Amplification DNS - gruik - 19-06-2013

(19-06-2013, 19h18)FraKtaL a écrit : Nous avons trouvé la cause =). Il s'agissait d'un concurrent pas content, suite à un marché public remporté par notre société.

ce doit être le con-exception qu'on évoquait ^^

Citation :Gruik, je suis inscrit sur FRNOG, j'ai essayer de prendre contact avec le directeur Technique de Firstheberg (personne qui est au bout du rouleau) afin d'essayer de trouver une solution en commun, mais ma requête a était sans réponse...

ok, donc si je comprends bien toi tu es "juste" le client attaqué, et le fait que ça ait mis ton hébergeur dans tous ses états est "un effet de bord" lié à l'ampleur de l'attaque et manifestement les choix orientés low-cost de ce dernier ^^
tranche de vie dans le monde des télécoms Smile


RE: Attaque Amplification DNS - FraKtaL - 20-06-2013

(19-06-2013, 22h29)gruik a écrit : ok, donc si je comprends bien toi tu es "juste" le client attaqué, et le fait que ça ait mis ton hébergeur dans tous ses états est "un effet de bord" lié à l'ampleur de l'attaque et manifestement les choix orientés low-cost de ce dernier ^^
tranche de vie dans le monde des télécoms Smile

Nous ne sommes pas le client de Firtheberg =), mais il s'agit d'un problème presque identique.