• STATISTIQUES
  • Il y a eu un total de 0 membres et 49923 visiteurs sur le site dans les dernières 24h pour un total de 49 923 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Rankk
    Site de challenge construit sur le principe d'une pyramide à 9 level. Level 1: 60,Level 2: 72,Level 3: 68,Lev...
    Challenges
    [FR] Kalkulators
    Ce projet a plusieurs buts, le premier étant l’étude de toutes formes cryptographiques, le cot&ea...
    Cryptographie
    [FR] Root-Me
    Notre équipe se base sur un constat : à l'heure actuelle ou l'information tend à devenir...
    Hacking
    [FR] Hackfest
    Le Hackfest est un évènement de sécurité et de piratage informatique au Québec reg...
    Hacking
    [FR] InfoMirmo
    Apprentissage de l'informatique par l'intermédiaire de challenges de sécurité. Venez app...
    Hacking
    [EN] phrack
    Lot's of stuff !
    Hacking
    [EN] Reddit
    Subreddit dédié à la sécurité informatique.
    Hacking

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Attaque Amplification DNS
18-06-2013, 20h20 (Modification du message : 18-06-2013, 20h20 par FraKtaL.)
Message : #1
FraKtaL Hors ligne
Membre
*



Messages : 47
Sujets : 6
Points: 5
Inscription : Jan 2013
Attaque Amplification DNS
Bonjour à tous,

Je me permets de vous demander une solution temporaire afin de contrer les attaques d'amplifications DNS ?

Pour ceux qui veulent savoir le késako d'une attaque d'amplication dns, http://www.bortzmeyer.org/amplification-...mbien.html
+1 (0) -1 (0) Répondre
18-06-2013, 21h51 (Modification du message : 18-06-2013, 21h55 par notfound.)
Message : #2
notfound Hors ligne
#!/usr/bin/env bash
*



Messages : 687
Sujets : 47
Points: 271
Inscription : Sep 2012
RE: Attaque Amplification DNS
Salut Fraktal, ravi de te revoir ici.

Le terme est mal choisi, en fait il s'agit bien d'une attaque utilisant les DNS, mais pas d'amplification DNS. Le principe est d'envoyer une demande à un DNS avec l'@IP de la victime pour que ce dernier réponde à la demande. Il va donc envoyer de grosses trames à la victime, celle-ci découpée en plusieurs trames à cause du MTU de l'Ethernet http://fr.wikipedia.org/wiki/Maximum_Tra....C3.A9seau

Ensuite, pour revenir à ta question il faudrait pouvoir stop lorsque le même DNS envoie des trames ayant le MTU maximum par exemple, ou bien trop de trames qui se suivent.

N'ayant jamais eu affaire à ce genre de cas, je ne sais pas si mon hypothèse est viable ...

Bon courage
+1 (0) -1 (0) Répondre
18-06-2013, 22h24
Message : #3
FraKtaL Hors ligne
Membre
*



Messages : 47
Sujets : 6
Points: 5
Inscription : Jan 2013
RE: Attaque Amplification DNS
Salut NotFound.

Le truc c'est que l'on se prend 1Gb/s de requete DNS sur un EDGE de 1Giga. Nous sommes clairement en saturation sur notre EDGE.

Et aujourd'hui, il faudrait que notre fournisseur IP fasse du null-route sur leur transit IP. (Chose qu'il ne font pas car ils sont DSP...) ou que je fasse la config sur notre routeur BGP (null-route / dé-null en rotation), mais je recherche une solution temporaire qui me permettrais d'aller dormir cette nuit =)
+1 (0) -1 (0) Répondre
18-06-2013, 23h53
Message : #4
FraKtaL Hors ligne
Membre
*



Messages : 47
Sujets : 6
Points: 5
Inscription : Jan 2013
RE: Attaque Amplification DNS
Yop yop.

J'ai trouver une solution temporaire (pas très propre mais bon), c'est juste le temps de faire une configuration BGP ou voir avec mon fournisseur IP.

J'ai fais un script avec une liaison CACTI, qui quand mon lien transit arrive à 90%, je bloque durant 20s les requête DNS via iptables en entrée.

A voir si mon téléphone vas arrêter de sonner cette nuit ou pas.

Bonne soirée
+1 (0) -1 (0) Répondre
19-06-2013, 01h25 (Modification du message : 19-06-2013, 02h16 par notfound.)
Message : #5
notfound Hors ligne
#!/usr/bin/env bash
*



Messages : 687
Sujets : 47
Points: 271
Inscription : Sep 2012
RE: Attaque Amplification DNS
Haha, grand fou va ! La je ne pourrais clairement pas t'aider, cela dépasse mes compétences.

En espérant que tu parviennes à régler ton problème !

A bientot Fraktal Wink
+1 (0) -1 (0) Répondre
19-06-2013, 09h18 (Modification du message : 19-06-2013, 09h19 par Ekroz.)
Message : #6
Ekroz Hors ligne
Membre actif
*



Messages : 77
Sujets : 13
Points: 43
Inscription : May 2013
RE: Attaque Amplification DNS
Il y a généralement deux types de déni de service :

- les attaques "applicatives" qui vont cibler un service et exploiter ses faiblesses pour qu'il consomme beaucoup de ressources et sature
- les attaques par "remplissage de tuyau" (nb: quand il y a un grand nombre d'attaquant les attaques "applicatives" remplissent aussi pas mal le tuyau)

Autant pour les déni de service applicatifs tu peux y contrer avec une bonne configuration (firewall, plugins du service en question etc...), autant pour le remplissage de tuyau tu ne peux rien faire.
Si physiquement il y a 1 Gbps de données qui transitent dans ton câble de 1 Gbps t'auras beau installer le firewall le mieux configuré du monde, tant qu'il n'y aura pas filtrage en amont chez le provider, tu seras blackouted.
Mais je crois que la majorité des attaques (en dehors des entreprises pour le profit) sont dues à des affaires pas très nets et que la meilleure manière d'éviter des attaques est de rester modeste et de ne pas parler aux inconnus. Big Grin
+1 (1) -1 (0) Répondre
19-06-2013, 10h02
Message : #7
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: Attaque Amplification DNS
(19-06-2013, 09h18)Ekroz a écrit : Si physiquement il y a 1 Gbps de données qui transitent dans ton câble de 1 Gbps t'auras beau installer le firewall le mieux configuré du monde, tant qu'il n'y aura pas filtrage en amont chez le provider, tu seras blackouted.

yep +1
si la capacité de l'attaque dépasse celle de tes tuyaux y'a rien à faire à part subir malheureusement

Citation :la meilleure manière d'éviter des attaques est de rester modeste et de ne pas parler aux inconnus. Big Grin

une considération sécuritaire à prendre avec des pincettes, presque borderline et applicable sans cas de conscience uniquement vis à vis d'une entreprise, la valeur business n'a elle pas de frontière donc... la fin justifie les moyens
c'est le "vivons bien, vivons cachés" en somme, mais je cautionne très moyennement sur le principe (ok on s'en fout mais je voulais le dire :p)
+1 (0) -1 (0) Répondre
19-06-2013, 10h38
Message : #8
Ekroz Hors ligne
Membre actif
*



Messages : 77
Sujets : 13
Points: 43
Inscription : May 2013
RE: Attaque Amplification DNS
J'ai précisé que ce n'était pas le cas pour les entreprises, car le profit entre en compte. Smile
Mais par exemple, pourquoi certains petits sites se font attaquer régulièrement, et certains plus populaires ne le sont pas ?
Parce que certains évitent de se faire des ennemis et pas d'autre...
Après il y aura toujours un con pour essayer de faire chier le monde mais les attaques DDoS sont faites soit dans un but de chantage (pour les entreprises), soit dans un but revenchard/gueguerre.
+1 (0) -1 (0) Répondre
19-06-2013, 11h40 (Modification du message : 19-06-2013, 11h40 par notfound.)
Message : #9
notfound Hors ligne
#!/usr/bin/env bash
*



Messages : 687
Sujets : 47
Points: 271
Inscription : Sep 2012
RE: Attaque Amplification DNS
(19-06-2013, 10h38)Ekroz a écrit : Après il y aura toujours un con pour essayer de faire chier le monde mais les attaques DDoS sont faites soit dans un but de chantage (pour les entreprises), soit dans un but revenchard/gueguerre.

Ou par des SK pour une pseudo-cause dont ils ne comprennent même pas le pourquoi du comment. (cc An*nym*us FR)
+1 (0) -1 (0) Répondre
19-06-2013, 13h01 (Modification du message : 19-06-2013, 13h15 par gruik.)
Message : #10
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: Attaque Amplification DNS
(19-06-2013, 10h38)Ekroz a écrit : pourquoi certains petits sites se font attaquer régulièrement, et certains plus populaires ne le sont pas ?
Parce que certains évitent de se faire des ennemis et pas d'autre...
Après il y aura toujours un con pour essayer de faire chier le monde mais les attaques DDoS sont faites soit dans un but de chantage (pour les entreprises), soit dans un but revenchard/gueguerre.

comme un fait exprès je suis tombé sur quelque chose d'étrangement similaire sur une mailing-list où le gars un peu au bord du rouleau explique la même problématique (aujourd'hui même donc) :

Citation :je pense que ce message sera peut être un prélude à la mort annoncé d'un opérateur / hébergeur local qui essaye de tirer son épingle du jeu et qui le paye très cher.

après c'est sûr que la notion de "se faire des ennemis" - sous-entendu "l'avoir bien cherché" - pour une entreprise est sans doute assez large Big Grin

--- edit: ---

la suite de la discussion par mail :
Citation :Généralement les DDOS n'arrivent pas sans raisons. Surtout sur autant d'adresses comme vous l'expliquez ! (ndgruik un /22 entier apparement, soit +1000 IP en gros)
Si ils sont la c'est que vous hébergez un site qui déplait à l'attaquant et/ou, vous êtes victime de "guéguerre" entre équipe de serveurs de jeux.
C'est courant chez eux ce genre de pratiques …
Peut être que depuis votre réseau un ou plusieurs serveurs DDOS un autre réseau à votre insu etc ...

de ce qu'il se dit la seule solution dans ce cas est de s'adresser au fournisseur de transit pour upgrade sur des tuyaux plus gros en urgence, tous ne le propose pas non plus à priori, une plaie quoi...
+1 (0) -1 (0) Répondre
19-06-2013, 19h18
Message : #11
FraKtaL Hors ligne
Membre
*



Messages : 47
Sujets : 6
Points: 5
Inscription : Jan 2013
RE: Attaque Amplification DNS
Bonsoir !

Nous avons trouvé la cause =). Il s'agissait d'un concurrent pas content, suite à un marché public remporté par notre société.

Après le travail technique, maintenant le travail judiciaire (Heureusement, ce n'est pas de mon ressort) ^^

Gruik, je suis inscrit sur FRNOG, j'ai essayer de prendre contact avec le directeur Technique de Firstheberg (personne qui est au bout du rouleau) afin d'essayer de trouver une solution en commun, mais ma requête a était sans réponse...
+1 (0) -1 (0) Répondre
19-06-2013, 22h29
Message : #12
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: Attaque Amplification DNS
(19-06-2013, 19h18)FraKtaL a écrit : Nous avons trouvé la cause =). Il s'agissait d'un concurrent pas content, suite à un marché public remporté par notre société.

ce doit être le con-exception qu'on évoquait ^^

Citation :Gruik, je suis inscrit sur FRNOG, j'ai essayer de prendre contact avec le directeur Technique de Firstheberg (personne qui est au bout du rouleau) afin d'essayer de trouver une solution en commun, mais ma requête a était sans réponse...

ok, donc si je comprends bien toi tu es "juste" le client attaqué, et le fait que ça ait mis ton hébergeur dans tous ses états est "un effet de bord" lié à l'ampleur de l'attaque et manifestement les choix orientés low-cost de ce dernier ^^
tranche de vie dans le monde des télécoms Smile
+1 (0) -1 (0) Répondre
20-06-2013, 19h03
Message : #13
FraKtaL Hors ligne
Membre
*



Messages : 47
Sujets : 6
Points: 5
Inscription : Jan 2013
RE: Attaque Amplification DNS
(19-06-2013, 22h29)gruik a écrit : ok, donc si je comprends bien toi tu es "juste" le client attaqué, et le fait que ça ait mis ton hébergeur dans tous ses états est "un effet de bord" lié à l'ampleur de l'attaque et manifestement les choix orientés low-cost de ce dernier ^^
tranche de vie dans le monde des télécoms Smile

Nous ne sommes pas le client de Firtheberg =), mais il s'agit d'un problème presque identique.
+1 (0) -1 (0) Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 3 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut